• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

TLS 1.1 как написать отчёт?

Wertson

Wertson

Заблокирован
20.07.2021
13
0
BIT
0
Даров кодебай, нашел на сайте уязвимость TLS 1.1, сайт популярный там больше 100к пользователей есть. Конечно это уязвимость не очень опасная, человек по середине. Вот нашел ее, и как написать отчёт об этой уязвимости :) просто как бы я вообще хз

Никто не шарит? Сколько смогу получить за уязвимость?
 
Сортировать по дате Сортировать по голосам
Squ0nk сказал(а):
Я тоже находил на 2ух сайтах (130к посещяемости) эту уязвимость, отчет не писал.
Нажмите, чтобы раскрыть...
Ну с этой уязвимостью можно провести митм человек по середине, вот хоть какая то уязвимость, теперь надо как то написать чтоб я хоть что-то получил)
 
За 0 Против
Wertson сказал(а):
Ну с этой уязвимостью можно провести митм человек по середине, вот хоть какая то уязвимость
Нажмите, чтобы раскрыть...
Если для проведения атаки тебе как-то нужно вклиниться в трафик между клиентом и сервером, то это не особо то и атака. Заплатят за неё +/- ничего.
ЗЫ. Это просто результат проверки сайта сканером SSL Labs, как я понимаю?)
 
За 0 Против
Pernat1y сказал(а):
Если для проведения атаки тебе как-то нужно вклиниться в трафик между клиентом и сервером, то это не особо то и атака. Заплатят за неё +/- ничего.
ЗЫ. Это просто результат проверки сайта сканером SSL Labs, как я понимаю?)
Нажмите, чтобы раскрыть...
Ну авто сканером проверил) кроме денег хоть смогу получить трофей что ли)
 
За 0 Против
нашел на сайте уязвимость...Ну авто сканером проверил)
Нажмите, чтобы раскрыть...
Вряд ли этот сайт сильно переживает за безопасность, если уязвимости можно найти через сканер, шанс что вообще дадут денег не очень большой(но если хотите попробуйте). Обычно, если у компаний есть баг баунти, они об этом пишут. Более менее нормальные суммы дают за такие дыры, которые не так легко найти, в целом можно погуглить за какие баги давали большие награды.
 
За 0 Против
Привет.
Если реализация уязвимости не приведет к остановке бизнеса, то вряд-ли светит что-то стоящее. Есть смысл снизить ожидания. Запроси благодарственное письмо или что то такое, что упадет тебе в профиль.
Пиши как понимаешь. Главное указать риски, к чему самому плохому может привести, и чего хочешь. Если знаешь как исправить, то это важно добавить, но суть говорить не обязательно.

Здравствуйте, готов усилить безопасность вашего сайта за оговоренное вознаграждение.
Мол, так и так, смотрел ваш сайт и заметил то-то и то-то, это является уязвимостью и может привести к тому-то и тому-то. Могу со своей стороны оказать содействие, чтобы устранить угрозу. За это хочу пачку печенья или грамоту.

Отправляй не технарям, а руководству. Технари могут и спасибо не сказать.
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ