Продолжение
Связались со мной представители reg.ru. Принесли извинения и отблагодарили:
[...] Разумеется, в данном случае, вам должны были сразу сообщить, что данная уязвимость уже найдена и находится в списках на исправление. Мы виноваты и приносим свои извинения. [...]Пикабушники победа ваша 😉!
Нет не было по этому к ним никаких официальных претензий нет) По поводу фриланса... Ну от части наверное да - я иногда тестирую сайты на заказ, но есть постоянная работа
Ну смотря какой сайт, иногда мелкие тестирую бесплатно... Когда работал с Webmoney мне платили за результат (Зависело от критичности уязвимости) а так цены варьируют еще и от объема работ - обычно от 200 до 1К USD. Да и опять же повторюсь что тестирование это хобби которым я не так уж и часто занимаюсь.
Ну да ладно, надеюсь, у вас в любом случае получится решить эту проблему, ибо подобная приверженность белому хакингу определенно должна поощряться)
Хотел но не вышло:
Для добавления поста в это сообщество Ваш рейтинг должен быть выше 100 баллов
Вы можете выложить информацию об уязвимости в общий доступ, при чём не выкладывая детали, а лишь показывая клиентам, что она есть, тем самым подпортив деловую репутацию данной системы. Опять-таки в случае выкладывания всего бага платёжная система получит море геморроя и изольёт тонну ненависти на такого нехорошего программёра, коий их баги выявляет.
и под шумок уже, расскажи об реакции регистратора.
Зы: думаю, что ктото потыбрил твой бонус.
Спасибо за совет. Знакомые посоветовали на пикабу написать - я в шоке что такие тут отзывчивые люди. Спасибо.
#ХабрУжеНеТот))) Подумаю, спасибо за пример и совет. У меня есть как раз приглашение на хабр могу без песочницы публиковать.
Ситуация, безусловно, неприятная, но не практичней было бы это дело разместить на условном хабре, где и аудитория в среднем более подходящая, и, возможно, представители компании водятся?
А может непривычно решать проблемы связанные с людями, а не с дырками в коде :)
UPD: вот, например https://geektimes.ru/post/278744/
Я уже лежу в кроватке и вижу 9 сон. Так что читать не буду сейчас статью (Как посплю прочту) - но не думаю что там названия каких-то компаний фигурируют
Ну у меня например есть SQL инъекция в небольшой платежной системе. Поддержка меня послала на 3 буквы. Почему должны страдать клиенты этой системы если я выложу информацию о ней в публичный доступ или продам ее?
По поводу качества их услуг ничего плохого (да и хорошего) сказать не могу. По поводу слитого адреса - не берусь утверждать - но я удивлен что еще данные всех клиентов не лежат в сети т. к. тот объем уязвимостей которые у них были еще год назад (По памяти помню что во WHOIS XSS была [или в связи с администратором, уже не помню]) и при редактировании/создании категорий для доменов (Это то что помню а так там мама не горюй было всяких всячин)...
Так называемые "белые хакеры", вместо того, чтобы работу работать, ищут лазят где что у кого плохо в надежде срубить баблишка. А если баблишка не дают, то они в своем благородстве спешат обнародовать указанные недостатки чужих проектов. Ибо обидно им, что баблишка не дали.
Можно ситуацию продемонстрировать на автомобилях:
По парковке ходит сервисмен и предлагает каждому автовладельцу выкупить инфу о том, где у него колодци подстерты, протектор уже лысоват итд. А если водитель не хочет отдавать денег, то доблестный и благородный сервисмен сразу бежит и стучит гаишникам =)
Я вижу у тебя огромный жизненный опыт... Отвечу так - меня посылали в открытую на 3 буквы платежные системы (В одной например я нашел SQL инъекцию) - ни разу я не выкладывал в публичный доступ информацию об этих уязвимостях и даже не упоминаю нигде эти компании. Если вы что-то говорите подкрепляйте пожалуйста это какими-то файтами.
P. S.: Я согласен что в семье не без урода но не совсем понимаю зачем вы обобщаете? Мне не раз предлагали в "черных каинг" влезть - ни разу я не соглашался на такое.
Как то до давно я увидел пост о парне который спалил что в Google Domains продается домен Google.com, отправил тикет и получил вознаграждение.
Недолго думая захожу я на Reg.ru, и ввожу рандомно в поиск небезызвестный сайт Twitter.com. И чудо, он висит в продаже, недолго думая закинул его в корзинку и забыл об этом. Каково было мое недоумение, когда через неделю мне пришло сообщение о том что в моей корзине все еще находится домен Twitter.com, а еще через неделю со мной связался менеджер и поинтересовался о состоянии моего заказа. К сожалению письма удалил, за то остался скрин из корзинки.
Лед 5 назад в офис рег ру пришел обычный человек, сказав что хочет перенести домен на себя, и рег ру как полагается не спросили какие то документы подтверждающие личность успешно перенесли домен на другое лицо, так один дорогой красивый 3 буквенный домен уехал куда то в даль (В кабинете не было инфы о паспортных данных), после этого новый владелец этого домена привязал домен на свой сайт и накидал туда алярмов(мобильные смс приложения которые шлют платные смс, это был wap сайт), не помню уже вернули ли домен но на сайте началась быстро падать посещаемость.
@Coderast, может быть сможете посоветовать, что почитать и в каком направлении копать начать, чтобы углубиться в тему уязвимостей и всякого такого? :)
Я считаю что надо для начала выучить какой нибудь язык программирования что бы понять где чаще всего совершают ошибки другие программисты и где что может быть... Я сам по сути ничего не читал + надо прийти к "этому". Например я стал заниматься безопасностью когда однажды мой проект взломали и очень больно сделали моему самолюбию (Заполучив доступ к серверу и полностью взяв весь проект под контроль на 3 дня).
значит надо выложить уязвимости на какой-нибудь хакерский форум, чтоб им жизнь подпортить
Потому что много букафф.
Повторюсь как и к прошлому посту - Увы (или к счастью) на Хабре запрещено оставлять подобные (отзывы) посты.
Декабрь 2010 https://web.archive.org/web/20101220050748/http://wab.ru/
waplog на время того как страница сохранена уже 75к уникальных посетителей.
Апрель 2011 https://web.archive.org/web/20110429192948/http://wab.ru/ и уже стоит прямо с главной редирект на чужой сайт "http://getwap.ru/?not_wab="
Вот тут подробно http://searchengines.guru/showthread.php?t=519729 и еще
старые темы на форуме http://2yxa.ru/dobro2/?wab_ru2= https://visavi.net/forum/topic.php?tid=10902&start=200 http://searchengines.guru/showthread.php?t=729612
Там пишут только что паспорт был поддельный, с этим ошибся.
Сейчас эта лазейка исключена, сменить администратора после смены регистратора возможно только через 30 суток, если регистратор сменит администратора после приема домена, это уже нарушение.
Twitch хоть вознаградила?) очень уж интересно)
И какая самая ценная\наибольшая награда у вас была?
Неа)) Я твичу сообщил через Xsolla, по этому по вознаграждению продетел))). Самая ценная награда для меня была когда после проведенного аудита мобильному оператору мне две афони заслали... Ну и когда аудит банку проводил, хоть оплата была не большой, но очень приятно :). Нще вебмани чуть больше $1К заслали когда мелким был, скакал по квартире как сумашедший)))
Я нашел багу в linkedin.com когда писал парсер, собственно суть в том что можно получить платные данные контактов не платя им деньги. По данному вопросу создал тикет у них, и спросил если у них вознаграждение за найденные баги, на что они ответили вопросом "В чем заключается баг?" Повторив вопрос о вознаграждении, они закрыли тикет. Так что даже крупные компании "кладут болт" на такие вещи. Кстати уязвимости уже 6 месяцев и она по прежнему есть (6 месяцев я о ней знаю и пользуюсь ней)
А можешь сделать пост где ты рассказываешь путь - как ты начал тестировать, с чего начинал и до чего дошел?
А если это CDN хостинг?))) Или например xsolla.com :) Направлен на за бугор но расположены в России
По нашему законодательству на сколько мне известно это не наказуемо (Живу в Литве) - а сейчас скажи как мне различить например Российский сайт от не Российского сайта (Именно сайта а не домен)?
Привет)
надеюсь увидишь мой коммент)
Если я хочу заняться тестированием веб. Что стоит конкретного подучить? По тестированию читал только савина. И где можно набраться опыта?
спасибо, если найдешь время ответить)
Наверное для начала надо выучить PHP и JavaScript что бы понять логику где могут быть уязвимости и как их искать.
Скорее всего сообщение об уязвимости передали программистам, они все быстро исправили, а отчитались что никакой уязвимости не было, иначе бы их премии лишили
поиск уязвимостей на российских ресурсах в любом случае уголовно наказуемое деяние.
не нужно этого делать. им не нужно, тебе тем более,
как это ни печально.
Вполне вероятно, что ваши письма про уязвимость в рег.ру видели только исполнители или руководители "низшего звена", то есть лица, не заинтересованные или не способные решить вопрос о вознаграждении вам.
На вашем месте я бы сходил к ним в офис поцентральней и описал бы ситуацию руководству повыше. Если нет такой возможности - написал бы письмо или e-mail по такому же принципу.