• XSS.stack #1 – первый литературный журнал от юзеров форума

Нашел дыру в банке

Отслеживать
Dr.Strangelove сказал(а):
Я бы не связывался с банками в плане баунти.
Этот очень гнилой и криминальный по своей сути контингент буквально за каждую копейку удавится.
Если раскрыть баг, то пошлют нах и спасибо не скажут , еще и пригрозят мусорами.
Сбить бабла наперед тем более не выйдет.
Единственный вариант - слить все, что можно там слить и пробовать это продать подороже.
С этими банкстерами только так.
Да и вообще я призываю всех хакеров не связываться с багбаунти ибо корпорашки за это платят сущие крохи, жалкие подачки нищим, в то время как какая-нибудь обнаруженная дыра может принести ущерба компании на миллионы долларов. Вот пусть и платят достойно. Продавая баги за копейки вы обваливаете рынок и обесцениваете свой труд и свою профессию.

Бред.
Что лучше, сдать багу в бб(тут стоит учитывать наличие этой самой бб) и получить гарантированные 5-10к баксов за рце, или понести ее на хак-форум васе пупкину, который может и 2к за нее не дать, так как выхлоп неизвестен? и это не говоря о том что он ещё и кидалой может оказаться. И это я не беру в расчет всякий мусор вроде дисклоуза нон-сенсетив инфы, цсрф, ссрф(без раскручивания до чего-то серьезного) и прочей шелухи, которую на форумах у тебя и за двадцатку баксов не купят, потому что такое никому нахер не нужно, а вот в бб купят, а иногда и по хорошей цене.
В бб сейчас не сдают баги только идейные блэки до мозга костей. Но это ничего, юношеский максимализм дело такое - проходящее.
 
seidziwhitehat сказал(а):
Бред.
Что лучше, сдать багу в бб и получить гарантированные 5-10к баксов за рце, или понести ее на хак-форум васе пупкину, который может и 2к за нее не дать, так как выхлоп неизвестен? и это не говоря о том что он ещё и кидалой может оказаться. И это я не беру в расчет всякий мусор вроде дисклоуза нон-сенсетив инфы, цсрф, ссрф(без раскручивания до чего-то серьезного) и прочей шелухи, которую на форумах у тебя и за двадцатку баксов не купят, потому что такое никому нахер не нужно, а вот в бб купят, а иногда и по хорошей цене.
В бб сейчас не сдают баги только идейные блэки до мозга костей. Но это ничего, юношеский максимализм дело такое - проходящее.
проблема в том что ни слова нет в инете о связи этого банка и бб)
 
LuMeR сказал(а):
проблема в том что ни слова нет в инете о связи этого банка и бб)

Я имел ввиду нормальные бб программы. В СНГ с этим плохо, обычно говорят спасибо и шлют нахер, особенно если это гос. структуры, а могут и УК пригрозить.
Хотя бывали случаи когда даже полный аудит просили, выдавая доступы, тут как повезет.
Но я бы на твоём месте просто отрепортил багу и особо ни на что не надеялся, даже если там что-то критичное.
 
нормальные бб программы. В СНГ с этим плохо
с этим очень плохо на западе. в снг с этим вообще никак.

или понести ее на хак-форум васе пупкину,
проблема же вайтхетов (читай voidhead) в том, что вчерашние школьники мало мальски научившиеся в барп и дебагер не могут ни разу в монетизацию.
потому ушлые дяди из копро-раций бобра и сахарчука покупают их как придорожных шлюшек по 5 коп. за пучок.

Но я бы на твоём месте просто отрепортил багу и особо ни на что не надеялся, даже если там что-то критичное.
:D?????? ахахаха...чувак , ты сделал мой день

занавес ?
 
Dr.Strangelove сказал(а):
с этим очень плохо на западе. в снг с этим вообще никак.


проблема же вайтхетов (читай voidhead) в том, что вчерашние школьники мало мальски научившиеся в барп и дебагер не могут ни разу в монетизацию.
потому ушлые дяди из копро-раций бобра и сахарчука покупают их как придорожных шлюшек по 5 коп. за пучок.


:D?????? ахахаха...чувак , ты сделал мой день

занавес ?
прикол в том, что я так и сделал два дня назад))
 
Лучше забить и не трогать :)
Кто работает по ру- к тому приходят по утру :) Можно потом к фейсам улететь на проверку после бесплатных подачек в их адрес(адрес банка), даже если и заплатят что то за багу) на карандашик явно возьмут тебя
 
прикол в том, что я так и сделал два дня назад))
ну если нравится заниматься благотворительностью.. почему нет?! ? но тогда бы просто выложил бы багу в паблик на форум. типа кто хочет - берите юзайте. так сказать для братвы.... тебе бы хоть репы наплюсовали бы))
 
Dr.Strangelove сказал(а):
ну если нравится заниматься благотворительностью.. почему нет?! ? но тогда бы просто выложил бы багу в паблик на форум. типа кто хочет - берите юзайте. так сказать для братвы.... тебе бы хоть репы наплюсовали бы))
банк ру, не хочу проблем
 
Dr.Strangelove сказал(а):
с этим очень плохо на западе. в снг с этим вообще никак.

Ясненько, мамин блекхет.


проблема же вайтхетов (читай voidhead) в том, что вчерашние школьники мало мальски научившиеся в барп и дебагер не могут ни разу в монетизацию.
потому ушлые дяди из копро-раций бобра и сахарчука покупают их как придорожных шлюшек по 5 коп. за пучок.


:D?????? ахахаха...чувак , ты сделал мой день

занавес ?

Ясненько, мамин блекхет, понимаю.
Ну давай, расскажи мне как ты будешь монетезировать блайнд ссрф на забытом всеми богами сабдомене нахуй никому не нужной компании, но вот если у этой компании есть бб - она тебе заплатит за твою юзлесс шелуху. Я постоянно вижу в торговом разделе эти ахуительные топики, которые апаются месяцами, пацаны не могут ничего продать, потому что никому это нахер не упало, все хотят либо кнопку бабло, либо доступы без рисков для себя. Могу тебе в нагрузку на твой юный и неокрепший мозг, полный хакерской романтики, привести пример. В 18 году я нашел два бага в одном не особо крупном майнинг-пуле, первый позволял подменять биткоин кошель, второй - угонять акк, оба требовали юзер интеракшен. (для эксплойтинга нужно собрать базу, проспамить, нужно время короче) Мне заплатили 7к за оба бага, и оба эти бага уже кто-то юзал, то бишь они уже занимались фиксом когда я о них сообщил, я просто успел отхавать кусок пирога. Через пару дней баги закрыли. А теперь представь ситуацию, я пошел бы его продавать, очень сомневаюсь что челику без репы кто-то бы дал больше 3к за такой баг, но допустим что его таки купили. В итоге баг бы через пару дней закрыли, покупатель бы остался в минусах, а я в блэке. Чёт я не чувствую выгоды.
 
seidziwhitehat сказал(а):
Ясненько, мамин блекхет, понимаю.
Ну давай, расскажи мне как ты будешь монетезировать блайнд ссрф на забытом всеми богами сабдомене нахуй никому не нужной компании, но вот если у этой компании есть бб - она тебе заплатит за твою юзлесс шелуху. Я постоянно вижу в торговом разделе эти ахуительные топики, которые апаются месяцами, пацаны не могут ничего продать, потому что никому это нахер не упало, все хотят либо кнопку бабло, либо доступы без рисков для себя. Могу тебе в нагрузку на твой юный и неокрепший мозг, полный хакерской романтики, привести пример. В 18 году я нашел два бага в одном не особо крупном майнинг-пуле, первый позволял подменять биткоин кошель, второй - угонять акк, оба требовали юзер интеракшен. (для эксплойтинга нужно собрать базу, проспамить, нужно время короче) Мне заплатили 7к за оба бага, и оба эти бага уже кто-то юзал, то бишь они уже занимались фиксом когда я о них сообщил, я просто успел отхавать кусок пирога. Через пару дней баги закрыли. А теперь представь ситуацию, я пошел бы его продавать, очень сомневаюсь что челику без репы кто-то бы дал больше 3к за такой баг, но допустим что его таки купили. В итоге баг бы через пару дней закрыли, покупатель бы остался в минусах, а я в блэке. Чёт я не чувствую выгоды.
я понимаю, но если я солью на форум критическую уязвимость одного из топ 5-7 российских банков, мне звездюлей не дадут?
 
Мне заплатили 7к за оба бага, и оба эти бага уже кто-то юзал, то бишь они уже занимались фиксом когда я о них сообщил, я просто успел отхавать кусок пирога.
О! Мне так нравятся все эти редкие единичные саксесс(?) стори от мамкиных вайтхетов...
А сколько было историй когда мамкиных вайтхетов кидали через Х?! Не счесть их... К слову и правильно делали. Я только двумя руками "ЗА", когда очередного робингуда опрокинут. Как еще их учить?!)) Он потом у себя в бложике как правило гневно обиженно высерается в адрес кидал, что лично мне всегда доставляет массу лулзов.
Было бы это все так смешно, но вот из-за таких болванов конторы потом и имеют соответствующее отношение к хакерам с соответствующим обваленным дешевым рынком их услуг.

https://ebanoe.it/2020/05/27/prozorro-n-hackers/
 
Последнее редактирование:
Dr.Strangelove сказал(а):
О! Мне так нравятся все эти редкие единичные саксесс(?) стори от мамкиных вайтхетов...
А сколько было историй когда мамкиных вайтхетов кидали через Х?! Несчесть их... К слову и правильно делали. Я только двумя руками "ЗА", когда очередного робингуда опрокинут. Он потом у себя в бложике как правило гневно обиженно высерается в адрес кидал, что лично мне всегда доставляет массу лулзов.
Было бы это все так смешно, но вот из-за таких болванов конторы потом и имеют соответствующее отношение к хакерам с соответствующим обваленным дешевым рынком их услуг.

https://ebanoe.it/2020/05/27/prozorro-n-hackers/

Не, ну если ты файвхэд и ищешь баги в таком мусоре, про который скинул статью то извините. Чтобы тебя не кидали через х#й - нужно выбирать нормальные программы, которые платят, и платят много, и отношение у которых человеческое. Да, такие существуют.
И это была не сакцесс стори, это был пример оценки рисков. Никто не будет покупать у тебя рце на гугловском сабдомене даже за 5к, потому что покупателю нужно мало того что отбить эти 5к, но ещё и прибыль получить, а домен могут отключить, могут пофиксить
багу, ее может найти кто-то ещё, на серваке может не оказаться ничего полезного. А мне надо продать, а нахера мне ждать пока Вася пупинс надумает покупать мою багу за 5к, когда гугл платит до 40к за такие вещи. Естественно я пойду и сдам ее гуглу.(гугл тут как пример)
 
гугл тут как пример
ты мне напоминаешь инфоцыган в этом плане. тем что берешь в пример выплаты багбаунти от FAANG , которые единственные кто платят серьезные суммы (не для них) и который при этом ковыряют и реверсят все вайтхеты в мире. А какой процент из них нашел багу? Сколько потратили времени и сил на это? Какая конкуренция?
По той же схеме и инфоцыгане любят приводить в пример с 5 успешных чуваков (типа гейца и безоса) миллиардеров из миллиардов людей остального мира... ))) Намекая кагбе на то что типа каждый может стать...

И конкретно тебе сколько раз гугл платил по 40к ?))
Могу и свой пример навскидку, можешь поискать "саксесс" историю чувака который нашел багу race condition в Старбаксе (!). И сколько ему заплатили ?

Я абсолютно уверен, что люди могущие получить 40к от FAANG , в блэке - могут КАК МИНИМУМ эту сумму удесятерять еще и при меньших усилиях и затратах.
 
Последнее редактирование:
seidzlwhitehat , а откуда инфа что рце даже пускай на сабдомене не окупится? Ты ведь вайтхат , не бандит :) Порой 0 деи приносят х100 х1000 , куда круче чем отдать за бесценок. И гугл тут не пример) это корпорация зла )
Но и соглашусь с тобой что некоторые конторы действительно хорошо платят за баги , но ,увы, не снг .
 
Dr.Strangelove сказал(а):
ты мне напоминаешь инфоцыган в этом плане. тем что берешь в пример выплаты багбаунти от FAANG , которые единственные кто платят серьезные суммы (не для них) и который при этом ковыряют и реверсят все вайтхеты в мире. А какой процент из них нашел багу? Сколько потратили времени и сил на это? Какая конкуренция?
По той же схеме и инфоцыгане любят приводить в пример с 5 успешных чуваков (типа гейца и безоса) миллиардеров из миллиардов людей остального мира... )))
И конкретно тебе сколько раз гугл платил по 40к ?))
Могу и свой пример навскидку, можешь поискать "саксесс" историю чувака который нашел багу race condition в Старбаксе (!). И сколько ему заплатили ?

Потому что я вижу сколько платят мне, и вижу за сколько продают доступы в торговом разделе.
Вместо гугла можно привести в пример ещё много компаний, которые платят, и платят больше чем я бы смог получить на форуме.
Хомаков после того как нашел багу в Старбаксе и гите прославился и сделал себе карьеру в инфосеке, уехав в долину. И не забывай какой это был год, тогда все действительно было плохо в плане выплат и бб, сейчас ситуация хоть и не идеальная, но поменялась кардинально.
Я не хочу продолжать с тобой холивар на тему кто из нас дурак, ты слишком скептически настроен и каждый останется при своем мнении.
 
Хомаков после того как нашел багу в Старбаксе и гите прославился и сделал себе карьеру в инфосеке, уехав в долину.
Он нормально прославился и пиарнулся гитом еще задолго до старбакса. И ни в какую долину он не уехал и скорее всего никогда не поедет, как раз именно потому, что пацан сображает неплохо. Кстати не удивлюсь если он активно работает по блеку. И вот он со старбаксом как раз наглядный пример того как процентов 95 корпорашек относятся к вайтхетам. Кстати с гитом у него же тоже были терки серьезные. Те еще п..асы.
 
LuMeR сказал(а):
я понимаю, но если я солью на форум критическую уязвимость одного из топ 5-7 российских банков, мне звездюлей не дадут?
Звездюлей может и нет, но увлекательная поездка на синем форд транзите, в наручниках, вполне возможна.
 
seidziwhitehat сказал(а):
Ясненько, мамин блекхет, понимаю.
Ну давай, расскажи мне как ты будешь монетезировать блайнд ссрф на забытом всеми богами сабдомене нахуй никому не нужной компании, но вот если у этой компании есть бб - она тебе заплатит за твою юзлесс шелуху. Я постоянно вижу в торговом разделе эти ахуительные топики, которые апаются месяцами, пацаны не могут ничего продать, потому что никому это нахер не упало, все хотят либо кнопку бабло, либо доступы без рисков для себя. Могу тебе в нагрузку на твой юный и неокрепший мозг, полный хакерской романтики, привести пример. В 18 году я нашел два бага в одном не особо крупном майнинг-пуле, первый позволял подменять биткоин кошель, второй - угонять акк, оба требовали юзер интеракшен. (для эксплойтинга нужно собрать базу, проспамить, нужно время короче) Мне заплатили 7к за оба бага, и оба эти бага уже кто-то юзал, то бишь они уже занимались фиксом когда я о них сообщил, я просто успел отхавать кусок пирога. Через пару дней баги закрыли. А теперь представь ситуацию, я пошел бы его продавать, очень сомневаюсь что челику без репы кто-то бы дал больше 3к за такой баг, но допустим что его таки купили. В итоге баг бы через пару дней закрыли, покупатель бы остался в минусах, а я в блэке. Чёт я не чувствую выгоды.
Вау, целых 7к....я надеюсь сарказм понятен?
Что за манера за каждый найденный баг, сидеть трястись? Ну нашел ты его, ну закрыли его до того как ты бы успел монетизировать, что дальше? Багов больше в мире нет что-ли? Тут кстати прямой логический вопрос к компетенции и проф навыкам прослеживается.
Нормальный специалист, который ценит себя, свои знания и навыки, сам волен принять решение на основании всех вводных данных, что дальше делать с найденным багом, эксплуатировать в блэке или в открытую отдать по бб при наличии таковой.
И это вполне естественно если перспективы нет у бага для блэка, отдать его. И в целом это не вопрос блэк\вайт, это вопрос того что ты нашел - тебе решать.
А случаев банальной не выплаты крупного бб, великое множество, с абсолютно галимыми отмазками обьявляющей бб стороны.
Индустрия миллиарды делает на умах единиц, которым достаются крохи, если ты себя настолько не ценишь - твоё право, не надо его навязывать другим.
А ты не мамкин? и не папкин? ты просто так на свет появился? и сразу в вайтхэты?
 
NA
LuMeR сказал(а):
ну типо там уязвимость позволяет хоть всю базу клиентов и их данных выкачать, а на черном рынке реально такое продать?
Ты откуда вообще такой красивый вылез? Такие нелепые вопросы задаешь...:zns6:
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх