Всех приветствую, рылся по просторам интернета, анализируя сайт одногокрупного банка , нашел у них огромную уязвимость, есть идеи, как и кому мне продать инфу о этой дыре ??
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Нашел дыру в банке
- Автор темы LuMeR
- Дата начала
Без отработки, сама инфа о наличии уязвимости, мало ценности представляет из себя.
- Автор темы
- Добавить закладку
- #4
неа, банк комерческий и один из крупнейших в стране))в какой банке ? консервной ? ?
- Автор темы
- Добавить закладку
- #5
ну естевственно могу составить отчет, что за уязвимость, какие последствия , как ее пофиксить, это все понятно, просто я хз типо, самая толковая мысль в моей голове, это продать ее самому же банку, и запросить за это 3-5к зеленых
Банки без объявленного баг-баунти шлют нахер с такими предложениями и дрочать свой айти отдел.
Про отработку я имел ввиду эксплуатацию самой уязвимости.
- Автор темы
- Добавить закладку
- #7
ну типо там уязвимость позволяет хоть всю базу клиентов и их данных выкачать, а на черном рынке реально такое продать?
База клиентов банка, не хранятся на вэб серваке.
То что можно дернуть базу данных сайта не равно дернуть базу данных клиентов, максимум мейл лист.
Сам отработай уязвимость, получи хоть какой то значимый доступ и тогда это будет иметь цену.
АйТи банка когда то видел?
Не хочу обидеть насчет всей базы данных большого банка.
Просто процетирую кусок из сна Никанора Ивановича в Мастере и Маргарите:
"– Вот какие басни лафонтена приходится мне выслушивать!
Подбросили четыреста долларов! Вот вы: все вы здесь валют-чики!
Обращаюсь к вам как к специалистам – мыслимое ли это дело?
– Мы не валютчики, – раздались отдельные обиженные
голоса в зале, – но дело это немыслимое."
- Автор темы
- Добавить закладку
- #10
да, что то я неправильно сформулировал, признаю, загнул
что за страна? думаю ето тоже важный фактор
- Автор темы
- Добавить закладку
- #12
Россия матушка
Тогда сдай по багбаунти им, пусть фиксят. Если нет багбаунти, свяжись напрямую по е-маил. Как повезет, если кто-то адекватный попадется, отреагирует на фидбек и отблагодарят. Но могут и просто сделать вид, что ничего не произошло или прислать отписку.
Но увы, работать по РУ - неправильно, нельзя и небезопасно. У нас на форуме такое не приветствуется. Был бы не РУ банк, можно было бы действительно попробовать качественно отработать баг и хорошо заработать. Но по РУ, как по мне, это табу.
А после этого напиши статью на конкурс с рассмотрением бага =)
Но увы, работать по РУ - неправильно, нельзя и небезопасно. У нас на форуме такое не приветствуется. Был бы не РУ банк, можно было бы действительно попробовать качественно отработать баг и хорошо заработать. Но по РУ, как по мне, это табу.
А после этого напиши статью на конкурс с рассмотрением бага =)
- Автор темы
- Добавить закладку
- #14
хорошо, спасибо за напутствие , я в начале и думал и вопрос задал, как по баг баунти банку это продать, но у них конкретно об этом ничего не написано, буду ждать что ответят по майлу, если пройдет то на форуме сделаю статью о этой дыре)
Я бы не связывался с банками в плане баунти.
Этот очень гнилой и криминальный по своей сути контингент буквально за каждую копейку удавится.
Если раскрыть баг, то пошлют нах и спасибо не скажут , еще и пригрозят мусорами.
Сбить бабла наперед тем более не выйдет.
Единственный вариант - слить все, что можно там слить и пробовать это продать подороже.
С этими банкстерами только так.
Да и вообще я призываю всех хакеров не связываться с багбаунти ибо корпорашки за это платят сущие крохи, жалкие подачки нищим, в то время как какая-нибудь обнаруженная дыра может принести ущерба компании на миллионы долларов. Вот пусть и платят достойно. Продавая баги за копейки вы обваливаете рынок и обесцениваете свой труд и свою профессию.
Этот очень гнилой и криминальный по своей сути контингент буквально за каждую копейку удавится.
Если раскрыть баг, то пошлют нах и спасибо не скажут , еще и пригрозят мусорами.
Сбить бабла наперед тем более не выйдет.
Единственный вариант - слить все, что можно там слить и пробовать это продать подороже.
С этими банкстерами только так.
Да и вообще я призываю всех хакеров не связываться с багбаунти ибо корпорашки за это платят сущие крохи, жалкие подачки нищим, в то время как какая-нибудь обнаруженная дыра может принести ущерба компании на миллионы долларов. Вот пусть и платят достойно. Продавая баги за копейки вы обваливаете рынок и обесцениваете свой труд и свою профессию.
Последнее редактирование:
Собственно, да. Некоторые неадекваты могут немного подать в суд.
Вообще, аккуратнее с гос. и коммерцией в плане багбаунти.
- Автор темы
- Добавить закладку
- #17
это смотря как предложить, главное самому базар фильтровавать и понимать кому и что предлагаешь
Как-то проверял улов своего скриптика, ну и было удивлением когда он залил шелл на корп сайт ру банка.
С тех пор просто лежит мертвым грузом, да наверное самый вариант про это статью написать.
С тех пор просто лежит мертвым грузом, да наверное самый вариант про это статью написать.
- Автор темы
- Добавить закладку
- #19
интересная статья бы вышла
А не один и то же ли у вас с ТСом банк?
С залитым шеллом есть варианты монетизации, но к сожалению это РУ(((