Deleted
Продолжение
Связались со мной представители reg.ru. Принесли извинения и отблагодарили:
[...] Разумеется, в данном случае, вам должны были сразу сообщить, что данная уязвимость уже найдена и находится в списках на исправление. Мы виноваты и приносим свои извинения. [...]Пикабушники победа ваша 😉!
показать ответы
раскрыть ветку (1)
Нет не было по этому к ним никаких официальных претензий нет) По поводу фриланса... Ну от части наверное да - я иногда тестирую сайты на заказ, но есть постоянная работа
показать ответы
раскрыть ветку (1)
Ну смотря какой сайт, иногда мелкие тестирую бесплатно... Когда работал с Webmoney мне платили за результат (Зависело от критичности уязвимости) а так цены варьируют еще и от объема работ - обычно от 200 до 1К USD. Да и опять же повторюсь что тестирование это хобби которым я не так уж и часто занимаюсь.
показать ответы
Полагаю, еще больше толку было бы от публикации в сообществе http://pikabu.ru/community/ibc
Ну да ладно, надеюсь, у вас в любом случае получится решить эту проблему, ибо подобная приверженность белому хакингу определенно должна поощряться)
раскрыть ветку (1)
Хотел но не вышло:
Для добавления поста в это сообщество Ваш рейтинг должен быть выше 100 баллов
показать ответы
Вы можете выложить информацию об уязвимости в общий доступ, при чём не выкладывая детали, а лишь показывая клиентам, что она есть, тем самым подпортив деловую репутацию данной системы. Опять-таки в случае выкладывания всего бага платёжная система получит море геморроя и изольёт тонну ненависти на такого нехорошего программёра, коий их баги выявляет.
раскрыть ветку (1)
Так ты не жалуйся на хабре, а запили как пентестил )
и под шумок уже, расскажи об реакции регистратора.
Зы: думаю, что ктото потыбрил твой бонус.
раскрыть ветку (1)
Успехов) Сначала, пожалуй, есть все же смысл черкнуть в поддержку https://geektimes.ru/feedback/ , ибо в правилах вроде как есть пункт, не одобряющий жалобы, но ваш случай все же особый. По-хорошему решить проблему попытались, не вышло, теперь есть смысл предупредить коллег о бесперспективности сотрудничества с данной компанией.
раскрыть ветку (1)
Спасибо за совет. Знакомые посоветовали на пикабу написать - я в шоке что такие тут отзывчивые люди. Спасибо.
показать ответы
Ну, все-таки они ответили на ваш пост , извинились, а не устроили кофейню, кальянную с жуками и бандерольку )
раскрыть ветку (1)
Да как бы прямым текстом) Вы все же подумайте насчет публикации по возможности, компании не любят огласки подобных ситуаций.
раскрыть ветку (1)
#ХабрУжеНеТот))) Подумаю, спасибо за пример и совет. У меня есть как раз приглашение на хабр могу без песочницы публиковать.
показать ответы
Ситуация, безусловно, неприятная, но не практичней было бы это дело разместить на условном хабре, где и аудитория в среднем более подходящая, и, возможно, представители компании водятся?
раскрыть ветку (1)
Устал, плохо покушал, день хреновый, отвлекся.
А может непривычно решать проблемы связанные с людями, а не с дырками в коде :)
раскрыть ветку (1)
GT? Может, меня пробил склероз, но почему-то явно помню, как время от времени встречал статьи с описанием подобного кидалова.
UPD: вот, например https://geektimes.ru/post/278744/
UPD: вот, например https://geektimes.ru/post/278744/
раскрыть ветку (1)
Я уже лежу в кроватке и вижу 9 сон. Так что читать не буду сейчас статью (Как посплю прочту) - но не думаю что там названия каких-то компаний фигурируют
показать ответы
раскрыть ветку (1)
Ну у меня например есть SQL инъекция в небольшой платежной системе. Поддержка меня послала на 3 буквы. Почему должны страдать клиенты этой системы если я выложу информацию о ней в публичный доступ или продам ее?
показать ответы
Рег.ру — те ещё пидорасы. Мне так однажды спам пришел на рабочую, нигде не засвеченную почту, о том, что надо оплатить какую-то фигню, и инвойс к письму приложен. Всё бы ничего, но адрес в инвойсе был с опечаткой, две буквы в названии улицы местами перепутаны. Именно так, с опечаткой, был указан мой адрес то ли в личном кабинете рег.ру, то ли при регистрации домена (со скрытыми данными для whois, естественно). То есть, или спамеры как-то сперли эти данные у Рег.ру, или Рег.ру сами слили данные своих пользователей. А еще у меня каким-то образом появился подключенный у них хостинг, услуги которого сам я не покупал (зачем мне виртуальный хостинг при наличии "дедика" в хорошем дата-центре?), и за который пусть за один месяц, но деньги они с меня снять успели (ну не буду же я чарджбек из за 10 баксов делать, при нем карту перевыпускать надо). В общем, теперь я эту компанию обхожу за километр.
раскрыть ветку (1)
По поводу качества их услуг ничего плохого (да и хорошего) сказать не могу. По поводу слитого адреса - не берусь утверждать - но я удивлен что еще данные всех клиентов не лежат в сети т. к. тот объем уязвимостей которые у них были еще год назад (По памяти помню что во WHOIS XSS была [или в связи с администратором, уже не помню]) и при редактировании/создании категорий для доменов (Это то что помню а так там мама не горюй было всяких всячин)...
показать ответы
Так называемые "белые хакеры", вместо того, чтобы работу работать, ищут лазят где что у кого плохо в надежде срубить баблишка. А если баблишка не дают, то они в своем благородстве спешат обнародовать указанные недостатки чужих проектов. Ибо обидно им, что баблишка не дали.
Можно ситуацию продемонстрировать на автомобилях:
По парковке ходит сервисмен и предлагает каждому автовладельцу выкупить инфу о том, где у него колодци подстерты, протектор уже лысоват итд. А если водитель не хочет отдавать денег, то доблестный и благородный сервисмен сразу бежит и стучит гаишникам =)
раскрыть ветку (1)
Я вижу у тебя огромный жизненный опыт... Отвечу так - меня посылали в открытую на 3 буквы платежные системы (В одной например я нашел SQL инъекцию) - ни разу я не выкладывал в публичный доступ информацию об этих уязвимостях и даже не упоминаю нигде эти компании. Если вы что-то говорите подкрепляйте пожалуйста это какими-то файтами.
P. S.: Я согласен что в семье не без урода но не совсем понимаю зачем вы обобщаете? Мне не раз предлагали в "черных каинг" влезть - ни разу я не соглашался на такое.
показать ответы
Как то до давно я увидел пост о парне который спалил что в Google Domains продается домен Google.com, отправил тикет и получил вознаграждение.
Недолго думая захожу я на Reg.ru, и ввожу рандомно в поиск небезызвестный сайт Twitter.com. И чудо, он висит в продаже, недолго думая закинул его в корзинку и забыл об этом. Каково было мое недоумение, когда через неделю мне пришло сообщение о том что в моей корзине все еще находится домен Twitter.com, а еще через неделю со мной связался менеджер и поинтересовался о состоянии моего заказа. К сожалению письма удалил, за то остался скрин из корзинки.
раскрыть ветку (1)
Лед 5 назад в офис рег ру пришел обычный человек, сказав что хочет перенести домен на себя, и рег ру как полагается не спросили какие то документы подтверждающие личность успешно перенесли домен на другое лицо, так один дорогой красивый 3 буквенный домен уехал куда то в даль (В кабинете не было инфы о паспортных данных), после этого новый владелец этого домена привязал домен на свой сайт и накидал туда алярмов(мобильные смс приложения которые шлют платные смс, это был wap сайт), не помню уже вернули ли домен но на сайте началась быстро падать посещаемость.
раскрыть ветку (1)
@Coderast, может быть сможете посоветовать, что почитать и в каком направлении копать начать, чтобы углубиться в тему уязвимостей и всякого такого? :)
раскрыть ветку (1)
Я считаю что надо для начала выучить какой нибудь язык программирования что бы понять где чаще всего совершают ошибки другие программисты и где что может быть... Я сам по сути ничего не читал + надо прийти к "этому". Например я стал заниматься безопасностью когда однажды мой проект взломали и очень больно сделали моему самолюбию (Заполучив доступ к серверу и полностью взяв весь проект под контроль на 3 дня).
показать ответы
Дочитал до того момента что о домене dojki ничего не будет. Не стал читать, но + поставил
Потому что много букафф.
Потому что много букафф.
раскрыть ветку (1)
раскрыть ветку (1)
Повторюсь как и к прошлому посту - Увы (или к счастью) на Хабре запрещено оставлять подобные (отзывы) посты.
показать ответы
Декабрь 2010 https://web.archive.org/web/20101220050748/http://wab.ru/
waplog на время того как страница сохранена уже 75к уникальных посетителей.
Апрель 2011 https://web.archive.org/web/20110429192948/http://wab.ru/ и уже стоит прямо с главной редирект на чужой сайт "http://getwap.ru/?not_wab="
Вот тут подробно http://searchengines.guru/showthread.php?t=519729 и еще
старые темы на форуме http://2yxa.ru/dobro2/?wab_ru2= https://visavi.net/forum/topic.php?tid=10902&start=200 http://searchengines.guru/showthread.php?t=729612
Там пишут только что паспорт был поддельный, с этим ошибся.
Сейчас эта лазейка исключена, сменить администратора после смены регистратора возможно только через 30 суток, если регистратор сменит администратора после приема домена, это уже нарушение.
раскрыть ветку (1)
Twitch хоть вознаградила?) очень уж интересно)
И какая самая ценная\наибольшая награда у вас была?
раскрыть ветку (1)
Неа)) Я твичу сообщил через Xsolla, по этому по вознаграждению продетел))). Самая ценная награда для меня была когда после проведенного аудита мобильному оператору мне две афони заслали... Ну и когда аудит банку проводил, хоть оплата была не большой, но очень приятно :). Нще вебмани чуть больше $1К заслали когда мелким был, скакал по квартире как сумашедший)))
Друг, а возможно как то с тобой связаться. Квип там, или скайп. У меня к тебе не совсем адекватная просьба. или 264364@mail.ru
раскрыть ветку (1)
Я нашел багу в linkedin.com когда писал парсер, собственно суть в том что можно получить платные данные контактов не платя им деньги. По данному вопросу создал тикет у них, и спросил если у них вознаграждение за найденные баги, на что они ответили вопросом "В чем заключается баг?" Повторив вопрос о вознаграждении, они закрыли тикет. Так что даже крупные компании "кладут болт" на такие вещи. Кстати уязвимости уже 6 месяцев и она по прежнему есть (6 месяцев я о ней знаю и пользуюсь ней)
раскрыть ветку (1)
А можешь сделать пост где ты рассказываешь путь - как ты начал тестировать, с чего начинал и до чего дошел?
раскрыть ветку (1)
раскрыть ветку (1)
А если это CDN хостинг?))) Или например xsolla.com :) Направлен на за бугор но расположены в России
показать ответы
раскрыть ветку (1)
По нашему законодательству на сколько мне известно это не наказуемо (Живу в Литве) - а сейчас скажи как мне различить например Российский сайт от не Российского сайта (Именно сайта а не домен)?
показать ответы
Привет)
надеюсь увидишь мой коммент)
Если я хочу заняться тестированием веб. Что стоит конкретного подучить? По тестированию читал только савина. И где можно набраться опыта?
спасибо, если найдешь время ответить)
раскрыть ветку (1)
Наверное для начала надо выучить PHP и JavaScript что бы понять логику где могут быть уязвимости и как их искать.
показать ответы
Скорее всего сообщение об уязвимости передали программистам, они все быстро исправили, а отчитались что никакой уязвимости не было, иначе бы их премии лишили
раскрыть ветку (1)
Можно вопрос ? А если бы у них не было вознаграждения за найденные баги, вы бы не прислали им Вами найденную уязвимость?
раскрыть ветку (1)
поиск уязвимостей на российских ресурсах в любом случае уголовно наказуемое деяние.
не нужно этого делать. им не нужно, тебе тем более,
как это ни печально.
раскрыть ветку (1)
Вполне вероятно, что ваши письма про уязвимость в рег.ру видели только исполнители или руководители "низшего звена", то есть лица, не заинтересованные или не способные решить вопрос о вознаграждении вам.
На вашем месте я бы сходил к ним в офис поцентральней и описал бы ситуацию руководству повыше. Если нет такой возможности - написал бы письмо или e-mail по такому же принципу.
раскрыть ветку (1)
