Что делать начинающему пентестеру?

[1337fGiNx]

Здравствуйте, форумчане!
Опытные, плз поделитесь советом

Недавно поймал себя на мысли, что независимо от того, пишешь ли по мелочи, либо находишь действительно стоящую уязвимость, тебя игнорят.
Пример: нашёл php инъекцию в Европейском банке. Казалось бы, +бабки?. Но, как говориться, куй железо пока горячо там плавал. Получил игнор со стороны саппорта. Торговать этим либо эксплуатировать уже чернуха какая-то
И вот у меня встал вопрос: мб я что-то не так делаю? мб сразу просить контакты админа? мб что-то не так в письме пишу? мб стоит чуть припугнуть? либо же наоборот? писать что есть опыт работы на известных сайтах, который ни как не смогут проверить? и т.д.
Пишу дефолтное письмо на буржуйском диалекте, мол здрасьти, нашол крЕтическую уязвимость на вашем вебсайте, и якщо нэ пофiксiтi будэ худо.
Предлагаю свою кандидатуру, мол за скромные деньги (не назв.) напишу вам отчёт используя полностью лицензионное (на самом деле нет) профессиональное ПО в котором будут детально описаны все уязвимости вашего вебсайта, фиксы, доп.инфа.
Всё письмо в деловом стиле и без угроз.
Сайты выбираю не крупных (всё относительно) компаний, у которых в связи с сферой деятельности должны быть деньги (смысл писать на форум цветоводов?)

Спасибо за внимание.
P.S. ТС понимает, что если слать по 1000 писем в день, то кто-нибудь да откликнется, но хочется делать работу хотябы +- качественно и набивать имя и клиентскую базу, а не просто кидать репорты с дефолтными уязвимостями, которые есть на 100% сайтов. И да, сколько у буржуев нынче норма просить за пентест?

 

[strum]

А самому вынести банк, что мешает. Или ты по "серому"?

 

[1337fGiNx]

А самому вынести банк, что мешает. Или ты по "серому"?

Неопытный я для этого) Да и пока нет прям срочной нужды в деньгах, чтобы таким заниматься

 

[Desoxyn]

Пишу дефолтное письмо на буржуйском диалекте, мол здрасьти, нашол крЕтическую уязвимость на вашем вебсайте, и якщо нэ пофiксiтi будэ худо.

Изначально неправильный подход. В техподдержке сидят не те люди, которые этим занимаются, у них и своей работы хватает. Они в основном и не понимают, че ты от них хочешь, какая уязвимость, что это, парень, ты о чем? Контакты админОВ тебе никто не даст. Шантаж? Если и ответят, то и ответ будет "тобi пiзда, тiкай з села". Вайты, грэйхаты, которые действуют из "благих побуждений", так себя не ведут. И редко кто из них ловит благодарность, а плюшку и того реже. И резюме им твое не втарахтело, даже вайтов с мировыми именами редко когда приглашают как то поучаствовать в устранении, работу не предлагают практически никогда. Максимум опять же благодарность или символическая плюшка.
Дуй сюда , смотри там репорты, смотри суммы вознаграждений и тихо охуевай, смотри списки компаний - при достойной баге они выплатят 100%. Ищи баги среди них, там поле непаханное для работы. И жизни не хватит. На трудоустройство, кстати, даже сорвав куш и попав в топы - можешь именно в этой компании не расчитывать =) От других предложения будут. Ну и не лезь дальше допустимого при обнаружении. Не с того начал совершенно.

 

[vxero]

Изначально неправильный подход. В техподдержке сидят не те люди, которые этим занимаются, у них и своей работы хватает. Они в основном и не понимают, че ты от них хочешь, какая уязвимость, что это, парень, ты о чем? Контакты админОВ тебе никто не даст. Шантаж? Если и ответят, то и ответ будет "тобi пiзда, тiкай з села". Вайты, грэйхаты, которые действуют из "благих побуждений", так себя не ведут. И редко кто из них ловит благодарность, а плюшку и того реже. И резюме им твое не втарахтело, даже вайтов с мировыми именами редко когда приглашают как то поучаствовать в устранении, работу не предлагают практически никогда. Максимум опять же благодарность или символическая плюшка.
Дуй сюда , смотри там репорты, смотри суммы вознаграждений и тихо охуевай, смотри списки компаний - при достойной баге они выплатят 100%. Ищи баги среди них, там поле непаханное для работы. И жизни не хватит. На трудоустройство, кстати, даже сорвав куш и попав в топы - можешь именно в этой компании не расчитывать =) От других предложения будут. Ну и не лезь дальше допустимого при обнаружении. Не с того начал совершенно.

Действительно были случаи когда обвиняли как шантажистов
Даже чуть до драк не доходило
Какой-то техдир чуть не подрался с вайтхетом на конфе

Не все люди считают что вайтхаты добро
Некоторые думают чтото легальный рекит)

 

[datingscam]

Чувак, раз так случилось, что вышло с банком (допустим), то продавай картон, а потом сливай себе БА + СС, делай пп, работай! Новую сферу для себя откроешь - кардинг! Ахаха)

 

[amstrot]

Чувак, раз так случилось, что вышло с банком (допустим), то продавай картон, а потом сливай себе БА + СС, делай пп, работай! Новую сферу для себя откроешь - кардинг! Ахаха)

Прочитай название темы! Человек пишет что хочет заниматься этичным хакингом и емуDesoxyn дал очень хороший совет.

 

[miamiflll]

Для начала научись ломать вайфай соседа) На ютуб много уроков)

 

[BabaDook]

Ух, сколько банков я поломал. Но это совсем другая история. Вообщем хз. Я понял давно, только применить не могу, не так я воспитан. Не важно кто ты, и что ты умеешь, главное уметь себя продавать. Знаю очер много людей,которые нихуя не умеют, от слов совсем нихуй, но себя норм продают, получают норм бабки, в х#й не дуют.

 

[miamiflll]

зашло бро)
офиггеть

 

[DreamLords]

Что я только что прочитал?
Ладно, допустим... Если ты хочешь работать робингудом, то тебе проще будет начинать с небольшой информационной компании предоставляющей свои скромные услуги. Но тут же для работы тебе необходимы все бумаги( диплом/сертификаты/опыт работы и прошлые проекты...) а если ты хочешь просто сидя дома фрилансить, то мало вероятно, что ты поднимешься и уедешь на загнивающий запад...
Иди на баг баунти, но тоже по мне так не особо профитное дело.. а судя по твоим этическим навыком , маловероятное дело.
Моё скромное мнение такое.
два варианта.
первый: если ты в душе все таки мыслишь о коммерческой составляющей, рано или поздно поймешь как устроен мир и займешься чернухой как ты выразился.
второй вариант. Если тебе пентест не особо по душе, займись чистым кодингом не важно чего, в данном случае у тебя будут и деньги и небольшая репутация. Когда-то тоже хотел стать хакером, но повзрослел и понял, что не могу больше сидеть и заниматься неособо интеренсым мне делом, я говорю про чистый пентест(аудит) так вся жизь и пройдет)))) и сообственно говоря влился в программирование.

 

[Кузя]

еби банк, не слушой их) банки зло!

 

[dimars08]

На самом деле, подобные баги по мимо всего несут в первую очередь репутационные риски. Я бы связался с пиарщиками банка, такие контакты на сайте банка точно есть, уверен, обратную связь получить можно, правда какую именно затрудняюсь отметить. Одно дело, если бы ТС был бы мало мальски узнаваемым спецом... а тут все очень сложно как говорится. Desoxyn и DreamLords дельные ответы написали как мне кажется.