Pare un field foarte interesant. De vreme ce multi membri devforum se ocupa de webdev ma gandesc ca poate unii dintre voi ati participat in bug bounties (securitate aplicatiilor web fiind pana la urma o alta fata a monedei).
M-as bucura sa aud despre experiente in domeniu, tips&tricks, etc.
Am auzit de bug bounties pentru prima oara anul asta cand unui client i-a fost spart site-ul de un student turc care apoi i-a cerut bani pentru a nu publica datele. Scuza studentului “ma mir ca nu participa clientul in programul bug bounties”. Din pacate pentru student clientul meu l-a reclamat la FBI si l-au dat aia in urmarire internationala. Stiu, e Turcia si nu se are bine cu americanii, dar nici nu mai iese ala din tara. Asa ca, grija cu hackereala.
Nu se refera la aia ci la faptul ca, companiile au aceste programe. Companii ca Google, Facebook, Apple etc.
Tu gasesti o vulnerabilitate in produsele lor, o raportezi si se repara. Primesti o suma de bani, iar la final se publica. Vulnerabilitatea in sine si cum a fost descoperita, rezolvata etc.
Am avut si eu un pentestig la aplicatia de la munca.
btw, recomad video-urile de mai sus. Sunt interesante pt ambele parti.
2 Likes
Vad ca atat clientul tau cat si studentul au dat-o in bara. Clientul tau tot cu o aplicatie nesigura a ramas. Studentul n-a folosit canalele oficiale sau o metodologie acceptata ptr. bug bounties.
El zice ca si-a rezolvat-o. Nu am acces la platforma, e pe win/asp.
Studentul a fost prost sa creada ca toata lumea e ca google. Programele bug bounties pornesc de la acordul companiilor implicate de a le testa securitatea.
Ala e santaj direct nu bug bounty 
Sunt curios cum își dau/dădeau seama că parola introdusă seamănă cu cea a contului… 
Aveau parolele în clar?
2 Likes
Daca vedea nevasta/prietena era o vilnerabilitate 
Mda, am mai vazut si eu cazuri asemanatoare unde dca trimiteai ceva mai deosebit bagai in boala vreun parser ceva
1 Like
E ca-n scena aia din LOTR. One vulnerability yes, but what about second vulnerability? 
Si-acu’ aia de gasesc vulnerabilitati o sa taca malc (sau o sa le monetizeze altfel) ca sa nu pateasca ca studentul turc.
Ai dreptate, e periculos sa te joci cu asta in afara limitelor legale sau acceptate de companii.
