Size: a a a

2020 May 29

m

medalahonor in WebPwnChat
自閉症のポイント
Это даже хуже чем куки без нттр онли
По этому поводу хорошо написал Омар Ганиев (https://t.me/masterbeched/10). Если кратко, то такие баги тоже могут нанести ущерб компании и от их простоты они не становятся хуже.
источник

VS

Valeriy Shevchenko in WebPwnChat
medalahonor
По этому поводу хорошо написал Омар Ганиев (https://t.me/masterbeched/10). Если кратко, то такие баги тоже могут нанести ущерб компании и от их простоты они не становятся хуже.
Такие баги должны искать команды по тестированию продуктов. Это функциональные баги. И их навалом. Но мало кто вообще платит за такое. Платят только тестерам внутри компаний, зарплату.
источник

MW

Mino Wesa in WebPwnChat
на скрине сумма замазана в статье видео, в описание пишет 500$
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
Valeriy Shevchenko
Такие баги должны искать команды по тестированию продуктов. Это функциональные баги. И их навалом. Но мало кто вообще платит за такое. Платят только тестерам внутри компаний, зарплату.
учитывая какой потом мусора идет по секьюрити багам, я прямо представляю что будет если платить за то чтобы юзеры присылали обычные баги)
Я кстати когда только приходил в тестирование, подрабатывал на онлайн биржах тестировщиков. Выпускается какой-то продукт, туда запускают ограниченное кол-во тестировщиков, и они шлют баги.
Но там расценки были что то в районе 50 центов-1 доллар за багу, часто даже меньше
источник

VS

Valeriy Shevchenko in WebPwnChat
Vladimir 0D0A Polyakov\x00
учитывая какой потом мусора идет по секьюрити багам, я прямо представляю что будет если платить за то чтобы юзеры присылали обычные баги)
Я кстати когда только приходил в тестирование, подрабатывал на онлайн биржах тестировщиков. Выпускается какой-то продукт, туда запускают ограниченное кол-во тестировщиков, и они шлют баги.
Но там расценки были что то в районе 50 центов-1 доллар за багу, часто даже меньше
было такое. не помню название. но мне авиасэйлс за какой-то баг ооооочень давно заплатили 1000р
источник

m

medalahonor in WebPwnChat
Valeriy Shevchenko
Такие баги должны искать команды по тестированию продуктов. Это функциональные баги. И их навалом. Но мало кто вообще платит за такое. Платят только тестерам внутри компаний, зарплату.
Почему бы программам и не принимать такие баги, если с точки зрения бизнес логики приложения потенциальный ущерб от их наличия может быть сравним с какими-нибудь серьёзными уязвимостями.  Я не вижу ничего плохого в том, что fb выплатил вознаграждение за тот репорт, как и в целом в его наличии.
источник

SR

Slow R in WebPwnChat
Есть вероятность того, что крупным компаниям выгодно, когда у них есть баги
источник

BF

Billy Fox in WebPwnChat
medalahonor
Почему бы программам и не принимать такие баги, если с точки зрения бизнес логики приложения потенциальный ущерб от их наличия может быть сравним с какими-нибудь серьёзными уязвимостями.  Я не вижу ничего плохого в том, что fb выплатил вознаграждение за тот репорт, как и в целом в его наличии.
О да, щас мы будем платить за баги, которые никто из реальных блэкхетов не будет эксплуатировать 😎
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
medalahonor
Почему бы программам и не принимать такие баги, если с точки зрения бизнес логики приложения потенциальный ущерб от их наличия может быть сравним с какими-нибудь серьёзными уязвимостями.  Я не вижу ничего плохого в том, что fb выплатил вознаграждение за тот репорт, как и в целом в его наличии.
записывайся на биржи тестировщиков, как делал я, участвуй в тестциклах (которые строго по расписанию), сдавай баги и получай по 2-3 бакса за штуку. Подобные биржи для бета тестирования используют многие, не удивлюсь если и фейсбук для каких то своих продуктов/новых фич. Правда там конкуренция с индусами еще выше чем на Hackerone.
источник

AS

Andrew Sparks in WebPwnChat
Переслано от Andrew Sparks
у микрософта есть бб для дефолт виндовых приложений?
источник

S

S N in WebPwnChat
багхантеры своими сканерами делает крутое бесплатное нагрузочное тестирование
источник

m

medalahonor in WebPwnChat
Vladimir 0D0A Polyakov\x00
записывайся на биржи тестировщиков, как делал я, участвуй в тестциклах (которые строго по расписанию), сдавай баги и получай по 2-3 бакса за штуку. Подобные биржи для бета тестирования используют многие, не удивлюсь если и фейсбук для каких то своих продуктов/новых фич. Правда там конкуренция с индусами еще выше чем на Hackerone.
Да я тут причем? Я просто говорю, что нужно рассматривать баги в контексте бизнес логики приложения.
источник

BF

Billy Fox in WebPwnChat
Andrew Sparks
Переслано от Andrew Sparks
у микрософта есть бб для дефолт виндовых приложений?
Да, вроде
источник

AS

Andrew Sparks in WebPwnChat
Good number of likes
источник

S

S N in WebPwnChat
medalahonor
Да я тут причем? Я просто говорю, что нужно рассматривать баги в контексте бизнес логики приложения.
он valve в 2018 заплатила mosckowsky 20к+5к за idor который позволял скачать коды активации всех игр, которые разработчики создали - там были уже как активированные так и еще не активированные коды - вот пример IDOR+бизнес логика - можно было скачать все коды всех игр на то время и потом на всяких авито ебей продавать
источник

S

S N in WebPwnChat
как пример жирного IDOR и влияние на бизнес логику
источник

m

medalahonor in WebPwnChat
Да и в целом корректно ли считать багом только то состояние системы, которое можно эксплуатировать с целью реализации угрозы? Разве само его наличие не может создавать угрозу? Разве не от последнего нужно смотреть на баги?
источник

o1

o 1 in WebPwnChat
конечное решение  (баг это или не баг) принимает бизнес
источник

o1

o 1 in WebPwnChat
o 1
конечное решение  (баг это или не баг) принимает бизнес
принять решение помогают безопасники
источник

o1

o 1 in WebPwnChat
но конечное решение всё равно за бизнесом
источник