Арбитраж Glov (VERIF.run) $300

[Joynses]

1. Glov
2. https://xss.pro/members/198516/
3. https://t.me/GLOV_SYSTEMS
4. Предоставлю, в случае если ответчик будет отвергать иск.
5. Некоторое время назад я написал Glov по поводу уязвимостей на их сайте (VERIF.run), где было 3 xss уязвимости (за каждую они предложили по $100 и того 3*100=$300). Вся информация об уязвимостях была предоставлена, но оплаты не последовало, а уязвимости были исправлены. С моей стороны были попытки решить вопрос без арбитража, но я получил отказ о выплате. Прошу решить финансовую претензию.

 

[Glov]

Добрый вечер. Жалобу полностью отвергаем. Предоставленные xss уязвимости настолько не значимы, что мы даже не исправляли их. У товарища завышенные представления о найденных уязвимостях.

 

[Joynses]

 

[admin]

Одна из сторон, пожалуйста, пришлите детали по XSS'кам, чтобы я понимал общую картину, что там реально было. В ЛС или здесь публично.

 

[Joynses]

Одна из сторон, пожалуйста, пришлите детали по XSS'кам, чтобы я понимал общую картину, что там реально было. В ЛС или здесь публично.

 

[admin]

Это не баги, а просто отчеты автоматического сканера. Пример отчета, который я просил.

По арбитражу скажу так. Сам баг(и) я не увидел, ни одна из сторон не прислала. Однако, невооруженным взглядом видно, что что-то ТС прислал. И что-то владельцы сайта пропатчили. Я, конечно же, по сей момент не понял, что именно. Но пропатчено таки было. Это факт. Конечно, автоскан burp/acunetix/w9scan/wapiti/arachni/и т.д. и парочка "проходных" xss'ок в первой же форме не стоят 300$. Периодически листая HackerOne, могу сказать, что там 300$ не платят даже иногда очень крупные платформы, не то, что мелкий сайт и нишевый сервис верификации. Но с другой стороны, никто не вынуждал соглашаться на благодарность за найденные баги. Можно было отказаться и сказать, что bugbounty нет. Или есть, но на общественных началах (за благодарность и спасибо на словах). Или, что благодарность есть, но сумма определяется на усмотрение владельца сайта. Если вы уже согласились, значит, слову-место.

Решение:
Выплата 10$ Joynses за потраченной время. И таки найденные и пропатченные какие-то баги.

 

[Joynses]

Это не баги, а просто отчеты автоматического сканера. Пример отчета, который я просил.

По арбитражу скажу так. Сам баг(и) я не увидел, ни одна из сторон не прислала. Однако, невооруженным взглядом видно, что что-то ТС прислал. И что-то владельцы сайта пропатчили. Я, конечно же, по сей момент не понял, что именно. Но пропатчено таки было. Это факт. Конечно, автоскан burp/acunetix/w9scan/wapiti/arachni/и т.д. и парочка "проходных" xss'ок в первой же форме не стоят 300$. Периодически листая HackerOne, могу сказать, что там 300$ не платят даже иногда очень крупные платформы, не то, что мелкий сайт и нишевый сервис верификации. Но с другой стороны, никто не вынуждал соглашаться на благодарность за найденные баги. Можно было отказаться и сказать, что bugbounty нет. Или есть, но на общественных началах (за благодарность и спасибо на словах). Или, что благодарность есть, но сумма определяется на усмотрение владельца сайта. Если вы уже согласились, значит, слову-место.

Решение:
Выплата 10$ Joynses за потраченной время. И таки найденные и пропатченные какие-то баги.

 

[admin]

Решение по сумме я принял, исходя из отчетов на HackerOne и +- примерному количеству времени, затраченному вами (~1ч).
Если вы не согласны с решением, вы можете открыть дубль блека на любом другом форуме, где есть ответчик. Я принял такое решение. Это всего лишь мое, как арбитра, мнение. Пришлите кошель в ЛС ответчику, чтобы он мог скинуть вам деньги.

 

[Pernat1y]

 

[admin]

Стороны арбитража, есть ли движения?

 

[Joynses]

Стороны арбитража, есть ли движения?

 

[admin]

Ок, понял. Я свое решение менять смысла не вижу. Если будут какие-то изменения (например, решения на других форумах), уведомите меня, плз. Тема закрыта.