А
Спасиб. А вилка?)
Вилки в гугле и ооо вася разнятся
Size: a a a
2021 February 09
АН
Вилки в гугле и ооо вася разнятся
Ну скажем тогда от 100$ и до?
А
Идор всё же немного другое (когда доступ ко странице получаем), а там - мисконфиг апи
Эм что?
Insecure direct object references (IDOR) are a type of access control vulnerability that arises when an application uses user-supplied input to access objects directly.
Тут и есть запрос к апи - выдай мне юзер 1 и его имя, и дай еще пароль, емейл и тд - классический idor
Insecure direct object references (IDOR) are a type of access control vulnerability that arises when an application uses user-supplied input to access objects directly.
Тут и есть запрос к апи - выдай мне юзер 1 и его имя, и дай еще пароль, емейл и тд - классический idor
А
Ну скажем тогда от 100$ и до?
От скольки захотят до скольки захотят
В зависимости от настроения и ценности информации для компании
В зависимости от настроения и ценности информации для компании
S
хм, а, да, "выдачу" двояко воспринял
GD
Ребзя. Нашёл отдачу данных юзеров с паролем/мылом/данными из бд через запрос к апи. Как классифицируется эта уязвимость и какая вилка выплаты за такое, подскажет кто?)
Если пароль ликается, это ахтунг
АН
Ну вообще на h1 то можно среднюю вилку прикинуть )
S
Ну вообще на h1 то можно среднюю вилку прикинуть )
от 100 до …
А
от 100 до …
От 0 до
GD
Ребзя. Нашёл отдачу данных юзеров с паролем/мылом/данными из бд через запрос к апи. Как классифицируется эта уязвимость и какая вилка выплаты за такое, подскажет кто?)
вилка выплаты, ору. 0 долларов
S
От 0 до
ну вообще да, могут ещё и в минуса загнать :D
А
ну вообще да, могут ещё и в минуса загнать :D
Оплата спасибками, вы сделали мир секьюрней
S
Ну вообще на h1 то можно среднюю вилку прикинуть )
ты репорти, а сколько дадут - столько дадут
АН
ты репорти, а сколько дадут - столько дадут
Так не работает ) руководство хочет вилку услышать )
GD
Лучше прикинуть критичность, от неё выплата зависит
А
Так не работает ) руководство хочет вилку услышать )
Оцениваешь риски, приводишь штрафы, критичность
GD
Если можешь получить пароль всех юзеров, то критичная бага
GD
ощущение буд-то троль какой-то. проси сколько хочешь...
S
Так не работает ) руководство хочет вилку услышать )
@bug_bounty_channel
Для сравнения можно использовать
Для сравнения можно использовать
D
Ребята подскажите xss payload для cloudflare последний bypass