Leaderboard

Cine doreste sa imi spuna la multi ani sau sa imi traga puli in gura ca am deschis topicul, asta este binevenit aici

Acum cateva zile am gasit niste vulnerabilitati intr-un site de plati online. Initial am descoperit ca site-ul respectiv isi ia codurile captcha dintr-un fisier txt care continea ~1k de cuvinte random. Am mers putin mai departe si am gasit un director /fileadmin/ care continea extrem de multe fisiere si directoare. Acolo am descoperit si un director log/ care continea logurile de acces. In acest director era si un fisier intranet.log in care erau intregistrate logurile de acces din reteaua intranet. Am mai gasit si un alt director /intranet care continea documente interne ale companiei, strategii de marketing, date personale ale angajatilor etc. Am dat si peste niste xss-uri, un lfi. Am descoperit si un formular unde puteai urca anumite tipuri de fisiere. Nu am cautat mai multe la acel moment. Am incercat sa le cer celor care se ocupa de twitter si de facebook-ul companiei un e-mail la care sa pot raporta vulnerabilitatile. Mi-au spus sa raportez la info@*.com Am trimis mail acolo cu un raport de 2 pagini si 2 zile nu a raspuns nimeni. Am publicat pe blogul personal un video cenzurat si le-am trimis postarea printr-un mesaj pe facebook. In 20 de minute am avut vreo 300 de vizualizari pe blog de la niste ip-uri care apartin companiei. Am fost contactat de CISOul lor si mi-a cerut un numar de telefon. I-am spus ca nu vorbesc foarte bine engleza si ca ar trebui sa vorbim pe e-mail. I-am explicat unde sunt vulnerabilitatile si cum sa le repare. Eu ii spuneam si in cateva secunde era reparat Chiar era un sentiment placut. Dupa ce Au fost reparate, primesc urmatorul mesaj: Dupa ce am sters video-ul, am primit alt e-mail: A doua zi dimineata aveam banii in cont. Data viitoare cand raportati ceva, scrieti un raport care sa arate frumos, fiti amabili, incercati sa luati legatura cu cei care se ocupa de securitate si sigur veti avea de castigat

Am remarcat ca in ultima vreme am fost invadati de tot felul de indivizi, marea majoritate venind de pe irc (dupa vocabular). Ar fi de preferat ca cei care intra aici si doresc sa vanda ceva pe RST Market, sa aduca si un beneficiu acestei comunitati: un tutorial, o stire de securitate, un mic ajutor celorlalti utilizatori. Serios, aici nu e mercador. De asemenea, cand doresc sa vanda servere, sa spuna ce anume vand mai exact: server linux, distributie, model cpu, memorie. S-a umplut forumul de "vand root uid0 eth0". Ce saracia e asta fratilor? Eu o vad ca pe o bataie de joc si o sa incep sa dau warn-uri unde vad asa ceva. Invatati ce inseamna termenii pe care-i folositi! - root: Nu, nu este un server de scan. Este un utilizator cu drepturi depline intr-un sistem *nix - eth0: Reprezinta primul device de retea intr-un sistem linux. Va incomodeaza daca se numeste rl0, fxp0, em0, bge0? - uid0: Pai daca ati spus ca vindeti ROOT, poate el avea alt USER ID decat 0 ? E ca si cum ati spune ca vindeti masina cu volan si claxon.

Pai ba, avand in vedere ca eu sunt cel care baga nspe mii de tutoriale de pe udemy, ce titlu iau? )

Doar dou? lucruri sunt infinite: universul ?i prostia uman?; iar de cea din urma sunt foarte sigur. Albert Einstein Normal ca prinde, cand vezi cat de tampiti pot fi unii, ramai masca. Intr-un ocean de prostie, cei care se remarca sunt cei mai prosti decat ceilalti sau geniile, dar e mai usor sa gasesti mai multi tampiti decat 1 geniu adevarat