Сколько можно будет попросить за найденную уязвимость у владельцев сайта

[rutolk]

Нашел XSS reflect на странице старой версии сайта, у которого переписали фронт но осталась уязвимость из старой версии.

Тестировал через СИ получив куки менджера/админа, вход по ним не получалось выполнить но при желании можно спокойно шелл реализовать и получить все что надо для входа в админку.
Сайт русский поэтому возникла идея написать кому то из персонала магазина, что бы дальше предложить вознагрождение за то что я покажу, воспроизведу уязвимость. И при необходимости покажу как это закрыть.

Вопрос какая сумма будет приемлема для этого случая

 

[singular]

Ты поосторожнее с таким, твои действия под статью уже попали, даже если у тебя добрые намерения. XSS это очень популярная уязвимость, легче сказать на каких сайтах её нет. Если посмотреть отчёты на hackerone (бугор компании которые имеют кэш на безопасность) там за такое в лучшем случае $30 отправят, и то, большая редкость. (учитывая ту статистику посещений как у тебя) Просить ничего не нужно, сочтут за вымогательство. Предупреди, а они уже пусть сами решают сколько смогут выделить тебе.

 

[rutolk]

Ты поосторожнее с таким, твои действия под статью уже попали, даже если у тебя добрые намерения. XSS это очень популярная уязвимость, легче сказать на каких сайтах её нет. Если посмотреть отчёты на hackerone (бугор компании которые имеют кэш на безопасность) там за такое в лучшем случае $30 отправят, и то, большая редкость. (учитывая ту статистику посещений как у тебя) Просить ничего не нужно, сочтут за вымогательство. Предупреди, а они уже пусть сами решают.

Я так понимаю тестировал взлом на себе не аргумент

Ты поосторожнее с таким, твои действия под статью уже попали, даже если у тебя добрые намерения. XSS это очень популярная уязвимость, легче сказать на каких сайтах её нет. Если посмотреть отчёты на hackerone (бугор компании которые имеют кэш на безопасность) там за такое в лучшем случае $30 отправят, и то, большая редкость. (учитывая ту статистику посещений как у тебя) Просить ничего не нужно, сочтут за вымогательство. Предупреди, а они уже пусть сами решают сколько смогут выделить тебе.

сайт связан с легальными пав в рф

 

[singular]

Я так понимаю тестировал взлом на себе не аргумент

"Здравствуйте, я тут мимо проходил, замок на ваших дверях в дом показался мне небезопасным. Так вот, я взломал его." - выглядит примерно так))

 

[rutolk]

"Здравствуйте, я тут мимо проходил, замок на ваших дверях в дом показался мне небезопасным. Так вот, я взломал его." - выглядит примерно так))

Понял этот момент. А вообще если где то уязвимость в дальнейшем найду то как к персоналу обращаться с такой ситуацией

 

[weaver]

там за такое в лучшем случае $30 отправят, и то, большая редкость.

Ты где такие цены увидел? обычно XSS это 100-300$ бывает и 500$

 

[NMD]

Ты поосторожнее с таким, твои действия под статью уже попали, даже если у тебя добрые намерения. XSS это очень популярная уязвимость, легче сказать на каких сайтах её нет. Если посмотреть отчёты на hackerone (бугор компании которые имеют кэш на безопасность) там за такое в лучшем случае $30 отправят, и то, большая редкость. (учитывая ту статистику посещений как у тебя) Просить ничего не нужно, сочтут за вымогательство. Предупреди, а они уже пусть сами решают сколько смогут выделить тебе.

Нарушает ли закон? (272 статью УК. РФ)
Ответ от юриста: «Как гласит Статья 272 УК РФ, Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. В нашем случае доступ к какой-либо информации не осуществляется, мы показываем лишь способ. XSS уязвимость позволяет выполнять код на стороне клиента, то есть публичной подмены кода сайта не осуществляется. XSS это не взлом и мы не сразу получаем доступ к информации как например sql, XSS это способ. Кроме того, исходя из субъективной стороны данного преступления, как таковой корысти в данном случае мы не имеем, это этичный хакинг (Хотя его даже хакингом назвать нельзя). Субъективная сторона предусматривает цель, мотив. Цели взлома сайта, его пользователей у нас нет. Мотив понятие большое, и то что мы лишь после того как отправили сообщение об обнаруженной уязвимости просим деньги, не говорит о том что мы хотели этого с самого начала, мы хотим получить благодарность за свою работу. Соответственно, заявить на нас что мы с корыстной взломали их сайт и требуем выкуп никто не сможет.»

 

[singular]

В нашем случае доступ к какой-либо информации не осуществляется

Тестировал через СИ получив куки менджера/админа

Напиши админу какого-то сайта, что у тебя есть возможность проникнуть в их систему. Но расскажешь как это сделать только за деньги. Ещё упомяни что были успешные попытки захвата cookie. Как бы ты на его месте размышлял? С одной стороны ты 24/7 под угрозой взлома, с другой - у тебя просят деньги за информацию.

Ты где такие цены увидел? обычно XSS это 100-300$ бывает и 500$

Согласен, я ошибся. Прикинул примерную сумму и ещё и статистику неправильно рассмотрел, увидел 23-24 год и подумал что это посещения сайта за год.