TLS 1.1 как написать отчёт?

Wertson · 02.08.2021

Даров кодебай, нашел на сайте уязвимость TLS 1.1, сайт популярный там больше 100к пользователей есть. Конечно это уязвимость не очень опасная, человек по середине. Вот нашел ее, и как написать отчёт об этой уязвимости

просто как бы я вообще хз

Никто не шарит? Сколько смогу получить за уязвимость?

Squ0nk · 03.08.2021

Я тоже находил на 2ух сайтах (130к посещяемости) эту уязвимость, отчет не писал.

Wertson · 03.08.2021

Squ0nk сказал(а):
Я тоже находил на 2ух сайтах (130к посещяемости) эту уязвимость, отчет не писал.

Ну с этой уязвимостью можно провести митм человек по середине, вот хоть какая то уязвимость, теперь надо как то написать чтоб я хоть что-то получил)

Pernat1y · 03.08.2021

Wertson сказал(а):
Ну с этой уязвимостью можно провести митм человек по середине, вот хоть какая то уязвимость

Если для проведения атаки тебе как-то нужно вклиниться в трафик между клиентом и сервером, то это не особо то и атака. Заплатят за неё +/- ничего.
ЗЫ. Это просто результат проверки сайта сканером SSL Labs, как я понимаю?)

Wertson · 03.08.2021

Pernat1y сказал(а):
Если для проведения атаки тебе как-то нужно вклиниться в трафик между клиентом и сервером, то это не особо то и атака. Заплатят за неё +/- ничего.
ЗЫ. Это просто результат проверки сайта сканером SSL Labs, как я понимаю?)

Ну авто сканером проверил) кроме денег хоть смогу получить трофей что ли)

userCut · 03.08.2021

нашел на сайте уязвимость...Ну авто сканером проверил)

Вряд ли этот сайт сильно переживает за безопасность, если уязвимости можно найти через сканер, шанс что вообще дадут денег не очень большой(но если хотите попробуйте). Обычно, если у компаний есть баг баунти, они об этом пишут. Более менее нормальные суммы дают за такие дыры, которые не так легко найти, в целом можно погуглить за какие баги давали большие награды.

migu · 04.08.2021

Привет.
Если реализация уязвимости не приведет к остановке бизнеса, то вряд-ли светит что-то стоящее. Есть смысл снизить ожидания. Запроси благодарственное письмо или что то такое, что упадет тебе в профиль.
Пиши как понимаешь. Главное указать риски, к чему самому плохому может привести, и чего хочешь. Если знаешь как исправить, то это важно добавить, но суть говорить не обязательно.

Здравствуйте, готов усилить безопасность вашего сайта за оговоренное вознаграждение.
Мол, так и так, смотрел ваш сайт и заметил то-то и то-то, это является уязвимостью и может привести к тому-то и тому-то. Могу со своей стороны оказать содействие, чтобы устранить угрозу. За это хочу пачку печенья или грамоту.

Отправляй не технарям, а руководству. Технари могут и спасибо не сказать.

Все сервисы Codeby

Поиск

Поиск

TLS 1.1 как написать отчёт?

Wertson

Заблокирован

Squ0nk

Wertson

Заблокирован

Pernat1y

Well-known member

Wertson

Заблокирован

userCut

Member

migu

Похожие темы