• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

TLS 1.1 как написать отчёт?

Wertson

Заблокирован
20.07.2021
13
0
BIT
0
Даров кодебай, нашел на сайте уязвимость TLS 1.1, сайт популярный там больше 100к пользователей есть. Конечно это уязвимость не очень опасная, человек по середине. Вот нашел ее, и как написать отчёт об этой уязвимости :) просто как бы я вообще хз

Никто не шарит? Сколько смогу получить за уязвимость?
 

Squ0nk

Green Team
30.10.2017
178
79
BIT
4
Я тоже находил на 2ух сайтах (130к посещяемости) эту уязвимость, отчет не писал.
 

Wertson

Заблокирован
20.07.2021
13
0
BIT
0
Я тоже находил на 2ух сайтах (130к посещяемости) эту уязвимость, отчет не писал.
Ну с этой уязвимостью можно провести митм человек по середине, вот хоть какая то уязвимость, теперь надо как то написать чтоб я хоть что-то получил)
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
Ну с этой уязвимостью можно провести митм человек по середине, вот хоть какая то уязвимость
Если для проведения атаки тебе как-то нужно вклиниться в трафик между клиентом и сервером, то это не особо то и атака. Заплатят за неё +/- ничего.
ЗЫ. Это просто результат проверки сайта сканером SSL Labs, как я понимаю?)
 

Wertson

Заблокирован
20.07.2021
13
0
BIT
0
Если для проведения атаки тебе как-то нужно вклиниться в трафик между клиентом и сервером, то это не особо то и атака. Заплатят за неё +/- ничего.
ЗЫ. Это просто результат проверки сайта сканером SSL Labs, как я понимаю?)
Ну авто сканером проверил) кроме денег хоть смогу получить трофей что ли)
 

userCut

Member
13.05.2021
23
0
BIT
0
нашел на сайте уязвимость...Ну авто сканером проверил)
Вряд ли этот сайт сильно переживает за безопасность, если уязвимости можно найти через сканер, шанс что вообще дадут денег не очень большой(но если хотите попробуйте). Обычно, если у компаний есть баг баунти, они об этом пишут. Более менее нормальные суммы дают за такие дыры, которые не так легко найти, в целом можно погуглить за какие баги давали большие награды.
 

migu

Grey Team
14.01.2020
224
60
BIT
21
Привет.
Если реализация уязвимости не приведет к остановке бизнеса, то вряд-ли светит что-то стоящее. Есть смысл снизить ожидания. Запроси благодарственное письмо или что то такое, что упадет тебе в профиль.
Пиши как понимаешь. Главное указать риски, к чему самому плохому может привести, и чего хочешь. Если знаешь как исправить, то это важно добавить, но суть говорить не обязательно.

Здравствуйте, готов усилить безопасность вашего сайта за оговоренное вознаграждение.
Мол, так и так, смотрел ваш сайт и заметил то-то и то-то, это является уязвимостью и может привести к тому-то и тому-то. Могу со своей стороны оказать содействие, чтобы устранить угрозу. За это хочу пачку печенья или грамоту.


Отправляй не технарям, а руководству. Технари могут и спасибо не сказать.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!