Нужен совет. Как поступить с багом?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Нужен совет. Как поступить с багом? - 2009-11-18 11:01:37.910000
|
|
|
][aKER_теоретик
Сообщений: 1192
Оценки: 0
Присоединился: 2009-03-30 09:17:08.123333
|
Вчера в аську пришел спам с рекламой относительно популярной социальной сеты Украины. Интереса ради я перешел по ссылке, покликал по менюхам и решил проверить на дырки. Казалось, что всё там "прикрыто" и нефиг туда соваться. Почти при выходе зашел в один из разделов лично в своих целях, посмотрел то, что мне было нужно и уже было собрался выходить, но после мысли "А чем чёрт не шутит?" подставил одинарную кавычку в адрессную строку и увидел ошибку на странице. Чтобы убедиться, что это 100% инъект, я начал производить в адрессной строке арифметические операции и они у меня работали. Поразмыслив немного и почти добравшись до полей таблицы `users`, я остановился.
Вот теперь мои вопросы по сабжу:
1. Стоит ли развивать этот нубовзлом или лучше сдать баг создателям?
2. Можно ли вообще извлечь для себя полезную выгоду со взлома админки соц. сети, акромя забавы?
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 13:46:03.756666
|
|
|
mactep.Black
Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666
|
полезной выгоды полно. какая замечательная база для спама.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 13:49:42.686666
|
|
|
][aKER_теоретик
Сообщений: 1192
Оценки: 0
Присоединился: 2009-03-30 09:17:08.123333
|
quote:
ORIGINAL: mactep.Black
полезной выгоды полно. какая замечательная база для спама.
А реально ли получить какую-то благодарнось са сдачу дырки, кроме "Спасибо" ?
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 13:51:40.413333
|
|
|
mactep.Black
Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666
|
сами вряд ли предложат. поэтому с этого и надо начинать разговор.
"так и так, нашел у вас на сайте дырку. за вознаграждение готов сдать вам ее с потрохами."
а так могут даже спасибо не сказать.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 13:54:09.066666
|
|
|
][aKER_теоретик
Сообщений: 1192
Оценки: 0
Присоединился: 2009-03-30 09:17:08.123333
|
quote:
ORIGINAL: mactep.Black
сами вряд ли предложат. поэтому с этого и надо начинать разговор.
"так и так, нашел у вас на сайте дырку. за вознаграждение готов сдать вам ее с потрохами."
а так могут даже спасибо не сказать.
Что можно просить за инъект, присутствующий только в одном модуле сайта?
Остальные ковырял - вроде вообще ничего не нашел. Даже XSS.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 13:56:22.150000
|
|
|
mactep.Black
Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666
|
этого я тебе не скажу. цен не знаю.
как договоришься.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 13:58:02.723333
|
|
|
][aKER_теоретик
Сообщений: 1192
Оценки: 0
Присоединился: 2009-03-30 09:17:08.123333
|
quote:
ORIGINAL: mactep.Black
этого я тебе не скажу. цен не знаю.
как договоришься.
Но в любом случае я же должен буду им предоставить доказательства. Админский пасс сойдёт, а до него добраться ещё не удалось. Зато есть доступ к INFORMATION_SCHEMA, а с ней проще будет.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 14:15:08.496666
|
|
|
.::[КОСТЕТ]::.
Сообщений: 1022
Оценки: 0
Присоединился: 2009-02-09 18:35:50.353333
|
][aKER_теоретик лучше выдерни базу, если она на этом же сервере, от этого больше будет пользы;)
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 14:18:19.260000
|
|
|
][aKER_теоретик
Сообщений: 1192
Оценки: 0
Присоединился: 2009-03-30 09:17:08.123333
|
quote:
ORIGINAL: .::[КОСТЕТ]::.
][aKER_теоретик лучше выдерни базу, если она на этом же сервере, от этого больше будет пользы;)
Вот я тоже об этом подумывал.
Жаль, что снести это всё к чёртовой матери не получится. Не люблю я соц. сети.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 15:38:21.810000
|
|
|
mactep.Black
Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666
|
сносить просто так, безо всякого смысла - это не продуктивно. нашел - постарайся из этого извлечь выгоду.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 15:54:16.443333
|
|
|
][aKER_теоретик
Сообщений: 1192
Оценки: 0
Присоединился: 2009-03-30 09:17:08.123333
|
Так я и обратился за советом, чтобы мне подсказали как с этого извлечь максимальную выгоду.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 16:00:37.436666
|
|
|
mactep.Black
Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666
|
стянуть базу и продать спамерам.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-18 16:10:15.206666
|
|
|
Login_hochu
Сообщений: 1471
Оценки: 0
Присоединился: 2007-07-15 14:19:23.423333
|
quote:
ORIGINAL: mactep.Black
стянуть базу и продать спамерам.
а потом уже "продать" баг админам.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-20 03:34:51.936666
|
|
|
S00pY
Сообщений: 785
Оценки: 0
Присоединился: 2007-04-14 20:44:05.376666
|
А не проще ли обойти это стороной или просто сдать баг не надеясь на награду?
quote:
Но в любом случае я же должен буду им предоставить доказательства. Админский пасс сойдёт, а до него добраться ещё не удалось. Зато есть доступ к INFORMATION_SCHEMA, а с ней проще будет.
Это уже статья…
quote:
][aKER_теоретик лучше выдерни базу, если она на этом же сервере, от этого больше будет пользы
За это тоже врятли погладят по головке.
Зы:Был случай:ковыряя онлайн браузерную игру на предмет xss нашел blind скуль иньект с root правами,он мне был незачем ибо коммерцией не занимаюсь,сообшил администрации проэкта и получил в награду 100 бачей(не особо много с трафа можно было сделать больше + сама бд) + пива выпил защет адмнистрации :)
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-21 19:28:31.323333
|
|
|
][aKER_теоретик
Сообщений: 1192
Оценки: 0
Присоединился: 2009-03-30 09:17:08.123333
|
2 S00pY, я однажды обнаружил один безвредный баг в крупном почтовом сервере ukr.net. Я позвонил, сказал, что, мол, так и так, письмо кэшируется при отправке, это не есть гуд, исправьте. Мне ответили: "Большое Вам спасибо за бдительность, мы проверим.".
А в этой соц. сети огромная дырка и я не хочу больше веб-проектам сдавать баги. Неблагодарные они все.
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-21 20:14:54.706666
|
|
|
.::[КОСТЕТ]::.
Сообщений: 1022
Оценки: 0
Присоединился: 2009-02-09 18:35:50.353333
|
quote:
Зы:Был случай:ковыряя онлайн браузерную игру на предмет xss нашел blind скуль иньект с root правами,он мне был незачем ибо коммерцией не занимаюсь,сообшил администрации проэкта и получил в награду 100 бачей(не особо много с трафа можно было сделать больше + сама бд) + пива выпил защет адмнистрации :)
Тебе повезло, ты нарвался на благодарных, Умных админов, которые за работу платят деньги!
А в большинстве одно кидалово и мразь.
Поэтому мое мнение нужно извлекать максимум пользы из этого и только потом сдавать уже администрации.
(или если заведомо знаешь что за то что сдашь "дырку" ничего не получишь, то можно пользоваться дальше, продавать, выкладывать наконец в паблик этот баг)
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-11-22 12:39:23.236666
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
quote:
сами вряд ли предложат. поэтому с этого и надо начинать разговор.
"так и так, нашел у вас на сайте дырку. за вознаграждение готов сдать вам ее с потрохами."
а так могут даже спасибо не сказать.
я бы на месте админов просто залез в логи, вбил в поиске слово union и наверняка сразу нашел где был хакер
а потом прикрыл
|
|
|
|
|
RE: Нужен совет. Как поступить с багом? - 2009-12-01 05:52:29.013333
|
|
|
S00pY
Сообщений: 785
Оценки: 0
Присоединился: 2007-04-14 20:44:05.376666
|
FriLL…. какой юнион о чем ты))) мож я её как блайнд крутил и вообще гугл может не проиндексировать и тп…
И возможно бага не одна,и это не мускуль иньект мсскл или вообще лфи(рфи)…
quote:
(или если заведомо знаешь что за то что сдашь "дырку" ничего не получишь, то можно пользоваться дальше, продавать, выкладывать наконец в паблик этот баг)
Это уголовно наказуемо
|
|
|
|
|
|
