Search the Community
Showing results for tags 'bug bounty'.
-
[Hacksnation.com] Recon for Ethical Hacking Penetration Testing & Bug Bounty https://mega.nz/folder/CDphRCJB#eBZqSmleyW6Thld_8RbZwQ
-
- hacksnation
- recon
-
(and 3 more)
Tagged with:
-
Microsoft is pleased to announce the launch of a vulnerability bounty program for the latest technical preview versions of the Nano Server installation option of Windows Server 2016. The program begins 29th April 2016, and ends on 29th July 2016. For the duration of the program, individuals across the globe have the opportunity to submit vulnerabilities found in the technical preview versions of Nano Server. Qualified submissions are eligible for payment from a minimum of $500 USD to $15,000 USD, and bounties will be paid out at Microsoft’s discretion based on the quality and complexity of the vulnerability. Microsoft may pay more than $15,000 USD, depending on the entry quality and complexity. Pentru mai multe detalii, termeni si conditii si eligibilitate: https://technet.microsoft.com/en-us/library/mt489845.aspx
-
- microsoft
- bug bounty
-
(and 2 more)
Tagged with:
-
Am vrut sa fac un share la cateva sfaturi care le-am invatat pe parcus , pentru intocmirea unui raport de vulnerabilitate. Ma adreses doar persoanelor care vor sau au facut aceasta actiune. Sa luam un exemplu : Adresa : shop.domain.biz Vulnerabilitate: XSS in "index.php?search=" Metoda de raport: email Nu folosesc un standard,dar in general incerc sa il fac cat mai simplu: Subiectul: Nota: Subiectul este unul simplu,nu trebuie incarcat cu informatii inutile. Raportul: Nota: 1) Daca doriti sa scrieti ceva despre dumneavoastra,puteti sa scrieti in semnatura ,in genul: Daca ati trimis la un site care are HoF (Hall of Fame) o sa vina un reply cu: -Daca doriti ca numele dumneavoastra sa apara in HoF-ul lor -Numele dumneavoastra -Numele companiei in cadrul caruia lucrati -Adresa web a companiei respective 2) Daca folositi un email care are alt nume decat al vostru , o probabilitate este sa il folosesca numele extras din email la reply . (Da,s-a intamplat acest lucru ). 3) Daca doriti sa valideze mult mai repede raportul , incercati sa gasiti departamentul in clauza , cat si un email al unui Chief si il puneti in "BCC" 4) Sa nu asteptati sa primiti un reply in scurt timp,dar la "firmele" mari in jur de o saptamana (in functie de vulnerabilitate si in ce domeniu este) pana cand il valideaza si il redirectioneaza catre departamentul in clauza. 5) Exploitul/bug-ul trebuie testat/executat intr-un mediu controlat de dumneavoastra care nu are tangenta cu alti utilizatori sau sa malformeze buna desfasure a site-ului pe o periodata foarte lunga . Daca nu aveti un email la care sa trimiti un raport,puteti sa folositi si "Contact form"-ul lor ,dar: -Cand introduceti vectorul in raport pentru demonstratie,s-ar putea sa il filtreze/scoata din email (ex: Vodafone,cand am primit un reply , vectorul din raport era filtrat/scos) -O probabilitate mica este scoaterea aliniatelor (caz real la eBay) si distruge aspectul comercial. -Puteti primi un email de confirmare pentru instiintarea ca a fost primit sau trimis la un departament Alte aspecte: Dupa cum a-ti observat raportul este scris in engleza deoarece sunt mai multe sanse sa prezinta cineva interes si sa inteleaga problema din exteriorul Romaniei . Dupa cum a reamintit Andrei Avadanei , nu toti au aceasi idee cand primesc un asemenea raport, servicile cu care am colaborat erau "HoF"-uri sau programe gen "Bug Bounty" . La restu nu am primit nici un fel de multumire dar nici nu am asteptat la asa ceva,dar posibil sunt "firme" care vad un atac prin acest email . Daca credeti ca instiintarea dumneavoastra poate sa aiba efecte negative , sunt si alte metode. Daca aveti alte informati ,precum: intrebari/intamplari/opini/alte rapoarte, la care puteti sa da-ti un "share" pentru comunitate , aveti ocazia prin acest thread. Update #1: -In cazul in care colaborati cu firme care are programul de Bug Bounty activ ,din strainatate (gen Google) si va cere formularul W-8BEN , pentru a va tranfera bani, se va completa astfel: Optional: Printati formularul , il completati citabil , il scanati si il trimiteti. Update #2: -In cazul "Bug Bounty"-ul de la PayPal , contul poate sa aiba si statusul de "Unverified" ATENTIE! Este important sa stiti ca transferul de bani se face in email-ul prin care ati trimis raportul , deoarece nu iti vor cere email-ul in care doriti sa va transfera bani. Update #3: -Daca gasiti ceva in att.com , raportul dumneavoastra nu este luat in considerare daca nu sunteti inregistrati in programul "AT&T Developer API Program" , care costa 99$ Am avut tangenta ,dar nimic confirmat nici un fel de feedback. Recent am aflat ca trebuie sa fiu inscris in programul respectiv ca sa imi valideze rapoartele Va multumesc pentru atentia acordata!
- 8 replies
-
- 2
-
- bug bounty
- google reward
-
(and 1 more)
Tagged with:
-
Acuma o saptamana am trimis un XSS la google (nu este in *.Google.com,dar este incadrat la Non-integrated acquisitions and other lower priority sites , la Typical XSS ). Nu am crezut ca il validaza deoarece este intr-un domeniu aproape offline si in primele email-uri era scris: Azi am primit un raspuns: Acuma intrebarile mele sunt: a avut cineva tangenta cu Google? Care este cea mai buna metoda de a primi bani?