A
Так биг 2.3 тоже отсортирован)
как ты себе это представляешь?
Size: a a a
2020 August 18
VP
спасибо, сейчас буду смотреть внимательнее.
Оно пока выглядит странно немного, типа language на 10 месте, но я за всю свою жизнь не видел там чего-то сенситивного.
Но кажется можно глазами из этого выцепить нужное, если посидеть, и раз ты говоришь что он уже отсортирован
Оно пока выглядит странно немного, типа language на 10 месте, но я за всю свою жизнь не видел там чего-то сенситивного.
Но кажется можно глазами из этого выцепить нужное, если посидеть, и раз ты говоришь что он уже отсортирован
A
даже тысячу сайтов проверить на 2.3 это уже много
K
не верю. разве что они его составляли в 2005 году или раньше
в dirb слова 2006, crack, serial, warez в топ 10 - это подозрительно
VP
даже тысячу сайтов проверить на 2.3 это уже много
тысяча нерепрезентативна, а вот сканить топ 1 миллион алексы даже небольшим бумовским fuzz-несколько накладно, да
A
частотность могли на основе ссылок подсчитать тогда, раз такие слова
VP
я видел как челы в бб собирали такие директории банально через дорки в ghdb
хм, а кстати не знаю, это ты имел ввиду или нет, но таки может сработать прогон через гуглдорк inurl: $, подставляя туда например скриптом слова из дефолт словаря дирсерча, и записывая в лог количество результатов. Таким образом где-то 4000 запросов, и у нас есть то что нам нужно. Гугл правда будет банить, но можно поставить sleep
BF
хм, а кстати не знаю, это ты имел ввиду или нет, но таки может сработать прогон через гуглдорк inurl: $, подставляя туда например скриптом слова из дефолт словаря дирсерча, и записывая в лог количество результатов. Таким образом где-то 4000 запросов, и у нас есть то что нам нужно. Гугл правда будет банить, но можно поставить sleep
Ага)
B
парни, собираю сто самых частых дир с сенситив инфой, навскидку, кто какие знает?
понятно, в баунти их не найти, мне не для этого
понятно, в баунти их не найти, мне не для этого
Ггг, у меня так fuzz.txt родился лет 7 назад
VP
ну да, оно значит, буду тестить. Кстати, прежде чем снова покинуть чат, вредный "баунти-совет" (хотя хз, читал тут кто Григория Остера или нет), который я тут надумал, просматривая ленту:
Идем в:
https://hackerone.com/googleapi?type=team&view_policy=true
1)Сдаем любой невалид, в программу выше
2)Дожидаемся его закрытия триаджерами
3)Получаем запись в рейтинге (да, даже за N/A)
4)Гордо пишем везде, что мы в топ-5 Google Api Bug Bounty
5)PROFIT
могу гарантировать, что работает, один юный багхантер, сдав как-то в новую вдп одну багу за 7 репы, и деля первое место с еще 50 такими же, писал что "I am on the first place in one of private programs"
Идем в:
https://hackerone.com/googleapi?type=team&view_policy=true
1)Сдаем любой невалид, в программу выше
2)Дожидаемся его закрытия триаджерами
3)Получаем запись в рейтинге (да, даже за N/A)
4)Гордо пишем везде, что мы в топ-5 Google Api Bug Bounty
5)PROFIT
могу гарантировать, что работает, один юный багхантер, сдав как-то в новую вдп одну багу за 7 репы, и деля первое место с еще 50 такими же, писал что "I am on the first place in one of private programs"
B
Все верно, но нет таких людей, у которых есть репрезентативная выборка чисто из опыта баунти. Разве что у тех, кто прошелся по топ 1м доменов и все попробовал скриптом.
Вот кстати ок
B
Надо отсортировывать по алексе мне
B
Все собираюсь
SN
Ггг, у меня так fuzz.txt родился лет 7 назад
Помню твой доклад в прошлом году на прохладных историях как ты в 2014 фазил папки топа алексы и там были bash history и другие файлы в корне сайта
B
Помню твой доклад в прошлом году на прохладных историях как ты в 2014 фазил папки топа алексы и там были bash history и другие файлы в корне сайта
Ага, тогда уже собрал списочек и было прикольно
VP
Вот кстати ок
я про такое тоже думал, сразу, но 4 651 000 000 запросов мне делать влом
B
Tmp файлы от vim и nano
B
я про такое тоже думал, сразу, но 4 651 000 000 запросов мне делать влом
Вот, надо заняться
B
Запустить на гошечке и сунуть в эластик ответы
A
без пароля