m
Это даже хуже чем куки без нттр онли
По этому поводу хорошо написал Омар Ганиев (https://t.me/masterbeched/10). Если кратко, то такие баги тоже могут нанести ущерб компании и от их простоты они не становятся хуже.
Size: a a a
2020 May 29
VS
По этому поводу хорошо написал Омар Ганиев (https://t.me/masterbeched/10). Если кратко, то такие баги тоже могут нанести ущерб компании и от их простоты они не становятся хуже.
Такие баги должны искать команды по тестированию продуктов. Это функциональные баги. И их навалом. Но мало кто вообще платит за такое. Платят только тестерам внутри компаний, зарплату.
MW
на скрине сумма замазана в статье видео, в описание пишет 500$
VP
Такие баги должны искать команды по тестированию продуктов. Это функциональные баги. И их навалом. Но мало кто вообще платит за такое. Платят только тестерам внутри компаний, зарплату.
учитывая какой потом мусора идет по секьюрити багам, я прямо представляю что будет если платить за то чтобы юзеры присылали обычные баги)
Я кстати когда только приходил в тестирование, подрабатывал на онлайн биржах тестировщиков. Выпускается какой-то продукт, туда запускают ограниченное кол-во тестировщиков, и они шлют баги.
Но там расценки были что то в районе 50 центов-1 доллар за багу, часто даже меньше
Я кстати когда только приходил в тестирование, подрабатывал на онлайн биржах тестировщиков. Выпускается какой-то продукт, туда запускают ограниченное кол-во тестировщиков, и они шлют баги.
Но там расценки были что то в районе 50 центов-1 доллар за багу, часто даже меньше
VS
учитывая какой потом мусора идет по секьюрити багам, я прямо представляю что будет если платить за то чтобы юзеры присылали обычные баги)
Я кстати когда только приходил в тестирование, подрабатывал на онлайн биржах тестировщиков. Выпускается какой-то продукт, туда запускают ограниченное кол-во тестировщиков, и они шлют баги.
Но там расценки были что то в районе 50 центов-1 доллар за багу, часто даже меньше
Я кстати когда только приходил в тестирование, подрабатывал на онлайн биржах тестировщиков. Выпускается какой-то продукт, туда запускают ограниченное кол-во тестировщиков, и они шлют баги.
Но там расценки были что то в районе 50 центов-1 доллар за багу, часто даже меньше
было такое. не помню название. но мне авиасэйлс за какой-то баг ооооочень давно заплатили 1000р
m
Такие баги должны искать команды по тестированию продуктов. Это функциональные баги. И их навалом. Но мало кто вообще платит за такое. Платят только тестерам внутри компаний, зарплату.
Почему бы программам и не принимать такие баги, если с точки зрения бизнес логики приложения потенциальный ущерб от их наличия может быть сравним с какими-нибудь серьёзными уязвимостями. Я не вижу ничего плохого в том, что fb выплатил вознаграждение за тот репорт, как и в целом в его наличии.
SR
Есть вероятность того, что крупным компаниям выгодно, когда у них есть баги
BF
Почему бы программам и не принимать такие баги, если с точки зрения бизнес логики приложения потенциальный ущерб от их наличия может быть сравним с какими-нибудь серьёзными уязвимостями. Я не вижу ничего плохого в том, что fb выплатил вознаграждение за тот репорт, как и в целом в его наличии.
О да, щас мы будем платить за баги, которые никто из реальных блэкхетов не будет эксплуатировать 😎
VP
Почему бы программам и не принимать такие баги, если с точки зрения бизнес логики приложения потенциальный ущерб от их наличия может быть сравним с какими-нибудь серьёзными уязвимостями. Я не вижу ничего плохого в том, что fb выплатил вознаграждение за тот репорт, как и в целом в его наличии.
записывайся на биржи тестировщиков, как делал я, участвуй в тестциклах (которые строго по расписанию), сдавай баги и получай по 2-3 бакса за штуку. Подобные биржи для бета тестирования используют многие, не удивлюсь если и фейсбук для каких то своих продуктов/новых фич. Правда там конкуренция с индусами еще выше чем на Hackerone.
AS
Переслано от Andrew Sparks
у микрософта есть бб для дефолт виндовых приложений?
S
багхантеры своими сканерами делает крутое бесплатное нагрузочное тестирование
m
записывайся на биржи тестировщиков, как делал я, участвуй в тестциклах (которые строго по расписанию), сдавай баги и получай по 2-3 бакса за штуку. Подобные биржи для бета тестирования используют многие, не удивлюсь если и фейсбук для каких то своих продуктов/новых фич. Правда там конкуренция с индусами еще выше чем на Hackerone.
Да я тут причем? Я просто говорю, что нужно рассматривать баги в контексте бизнес логики приложения.
BF
Да, вроде
AS
Good number of likes
S
Да я тут причем? Я просто говорю, что нужно рассматривать баги в контексте бизнес логики приложения.
он valve в 2018 заплатила mosckowsky 20к+5к за idor который позволял скачать коды активации всех игр, которые разработчики создали - там были уже как активированные так и еще не активированные коды - вот пример IDOR+бизнес логика - можно было скачать все коды всех игр на то время и потом на всяких авито ебей продавать
S
как пример жирного IDOR и влияние на бизнес логику
m
Да и в целом корректно ли считать багом только то состояние системы, которое можно эксплуатировать с целью реализации угрозы? Разве само его наличие не может создавать угрозу? Разве не от последнего нужно смотреть на баги?
o1
конечное решение (баг это или не баг) принимает бизнес
o1
конечное решение (баг это или не баг) принимает бизнес
принять решение помогают безопасники
o1
но конечное решение всё равно за бизнесом