Набьёшь

Разные причины хосты не уязвимы блочат или просто не находит уязвимости

сигнал не сканерами:
https://hackerone.com/anonymous_blackzero

работает автоматика:
https://hackerone.com/todayisnew
https://hackerone.com/linkks

1 я знаю лох

https://hackerone.com/bobrov

хотя есть еще хорошо оттюненные самописные сканеры, тогда там вот так

Набьешь если сканер будет только криты выдавать там где плотят по максу и ты будешь попадать

Он руками тоже ищет

понтяно что никто чисто на сканерах не сидит

я про то что происходит с сигналом при их масс использовании

как Сергей рассказывал на зн что одна бага руками дала по выхлопу больше чем 3 мес сканов, я помню

Hello, how are you?

i'm fine, you?

Well. Join the group to talk to Russian-speaking people

Такая ситуация - цсрф токен отправляется вместе с пост запросом и в куках, если они совпадают то все ок, то есть ты можешь даже не валидный токен пихать - главное, чтобы совпадало в запросе и в куках
вопрос - как куки жертве поменять ?
потому что вроде валидация не совсем правильная, но без контроля кук жертвы получается не эксплойтабл ?
в ПортСвиггер вроде как есть лаба на такой таск, но я не совсем понял как там работает через Set-Cookie

Вроде никак, но может у меня инфа устаревшая. Там как раз писечка в том что атакующий не имеет доступа к кукам

такой странный вопрос: если ломать сайты, которые уже давно никому не нужны, мне за это что-то в теории может быть?

если админинстратору не пофиг на ресурс и ему не тяжело ручкой написать заяву, то да

нууу… на пересечении границ разных стран придется долго оглядываться по сторонам.

вот именно, что судя по его состоянию пофиг

по сути никак, вообще с сцрф мутная тема с подменой сессии