VS
у меня щас тоже приколюха с одной прогой. закрыли отчет как дубль. попросил инвайтнуть в ориджинал репорт. сказали что оказывается ориджинал репорт вообще resolved. морозятся по сей день. хрень какую-то отвечают постоянно
первый клиент уже есть 😄
Size: a a a
2021 January 07
AA
первый клиент уже есть 😄
@ValyaRoller - mediation🗿
I
надо делать услугу - повысим ваш ревард за процент. просто добавьте нас в репорт и мы там всем покажем 👊
russian cyber mafia
VS
потом у кребса в публикациях 😄
P
тот что справа на бума похож
VS
"отстаиваем ваши интересы в репорте за процент от выплаты". идея для стартапа
h
дак вот с Поляковым обсуждали что багбаунтеры в большинстве своем слишком скромны и не умеют отстаивать свои права
если только русские
VS
кстати сам какерван не может правильно ответить на вопрос с постэксплуатацией. когда мы с одним товарищем нащупали возможности без проблем ходить на разные чувствительные сервисы различных компаний, и репортили это через х1 - то получили моментальный бан на день без объяснений. Потом произошел разбан и предложение больше так не делать, а просто сообщать о "возможной" уязвимости с доступом "туда-то" через "вот это вот". Но вот я что-то ни разу не видел чтоб мне за репорт о возможных слитых кредах в каком-то гите моментально давали хорошую оценку и ревард. Как правило такое заканчивается на low/informative со сбросом логопасов(если они были рабочими вообще)
HD
багбаунти работает по-пидорски потому что большинство компаний до сих пор не умеют его правильно готовить, неоднократно уже общался с синими командами лично и оправдания с их стороны почти всегда в том, что им придется серьезно отвечать за проеб, если серьезная бага прошла по багбаунти
HD
Один раз был забавный случай, дебаг билд уехал в приватную бб программу по-тупости девелоперов, а секурити пацаны смотрели нормальный прод билд. В итоге секурити команда хотела всеми силами слить репортёра который честно принес баги даже не смотря на то, что косяк был не на их стороне
VS
сколько можно терпеть эту херню со стороны триажеров
кстати винить только триажеров - не правильно. частенько сама секьюрити команда компании не в состоянии оценить риски. Никогда не забуду как сотрудница одной компании на слепую скулю написала мне
"By exploiting a time based issue, we don't see a large impact on our application."
"By exploiting a time based issue, we don't see a large impact on our application."
VS
ну да. команду безопасности руководство не погладит за пропущенный баг
I
кстати винить только триажеров - не правильно. частенько сама секьюрити команда компании не в состоянии оценить риски. Никогда не забуду как сотрудница одной компании на слепую скулю написала мне
"By exploiting a time based issue, we don't see a large impact on our application."
"By exploiting a time based issue, we don't see a large impact on our application."
не связываешь ли ты этот фейл с тем, что сотрудница — женского пола?
VS
не связываешь ли ты этот фейл с тем, что сотрудница — женского пола?
боже упаси, а то щас меня еще в феменизме уличат и побанят везде за толерастность
А
не связываешь ли ты этот фейл с тем, что сотрудница — женского пола?
Пол не может быть связан с знаниями аппсека
#
проще напрямую связываться
письмо трем контактам - самому главному, контакт и девелоперам
потом шустро бегать начинают
письмо трем контактам - самому главному, контакт и девелоперам
потом шустро бегать начинают
GD
Сомневаюсь что они будут использовать не английские слова
ахахахх, чел, если я просил немецкий вордлист, может я знаю почему я его прошу? И с какого хера немцы не будут юзать свой язык??????? -_-
S
Ну, откуда ж мне знать… Тебе виднее
P
давайте повежливее, господа )))
VS
#
проще напрямую связываться
письмо трем контактам - самому главному, контакт и девелоперам
потом шустро бегать начинают
письмо трем контактам - самому главному, контакт и девелоперам
потом шустро бегать начинают
не раз видел как всем трем было по барабану. и нет, то были не опенредиректы или ксски.