Jump to content

Search the Community

Showing results for tags 'google reward'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Informatii generale
    • Anunturi importante
    • Bine ai venit
    • Proiecte RST
  • Sectiunea tehnica
    • Exploituri
    • Challenges (CTF)
    • Bug Bounty
    • Programare
    • Securitate web
    • Reverse engineering & exploit development
    • Mobile security
    • Sisteme de operare si discutii hardware
    • Electronica
    • Wireless Pentesting
    • Black SEO & monetizare
  • Tutoriale
    • Tutoriale in romana
    • Tutoriale in engleza
    • Tutoriale video
  • Programe
    • Programe hacking
    • Programe securitate
    • Programe utile
    • Free stuff
  • Discutii generale
    • RST Market
    • Off-topic
    • Discutii incepatori
    • Stiri securitate
    • Linkuri
    • Cosul de gunoi
  • Club Test's Topics
  • Clubul saraciei absolute's Topics
  • Chernobyl Hackers's Topics
  • Programming & Fun's Jokes / Funny pictures (programming related!)
  • Programming & Fun's Programming
  • Programming & Fun's Programming challenges
  • Bani pă net's Topics
  • Cumparaturi online's Topics
  • Web Development's Forum
  • 3D Print's Topics

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Website URL


Yahoo


Jabber


Skype


Location


Interests


Biography


Location


Interests


Occupation

Found 1 result

  1. Am vrut sa fac un share la cateva sfaturi care le-am invatat pe parcus , pentru intocmirea unui raport de vulnerabilitate. Ma adreses doar persoanelor care vor sau au facut aceasta actiune. Sa luam un exemplu : Adresa : shop.domain.biz Vulnerabilitate: XSS in "index.php?search=" Metoda de raport: email Nu folosesc un standard,dar in general incerc sa il fac cat mai simplu: Subiectul: Nota: Subiectul este unul simplu,nu trebuie incarcat cu informatii inutile. Raportul: Nota: 1) Daca doriti sa scrieti ceva despre dumneavoastra,puteti sa scrieti in semnatura ,in genul: Daca ati trimis la un site care are HoF (Hall of Fame) o sa vina un reply cu: -Daca doriti ca numele dumneavoastra sa apara in HoF-ul lor -Numele dumneavoastra -Numele companiei in cadrul caruia lucrati -Adresa web a companiei respective 2) Daca folositi un email care are alt nume decat al vostru , o probabilitate este sa il folosesca numele extras din email la reply . (Da,s-a intamplat acest lucru ). 3) Daca doriti sa valideze mult mai repede raportul , incercati sa gasiti departamentul in clauza , cat si un email al unui Chief si il puneti in "BCC" 4) Sa nu asteptati sa primiti un reply in scurt timp,dar la "firmele" mari in jur de o saptamana (in functie de vulnerabilitate si in ce domeniu este) pana cand il valideaza si il redirectioneaza catre departamentul in clauza. 5) Exploitul/bug-ul trebuie testat/executat intr-un mediu controlat de dumneavoastra care nu are tangenta cu alti utilizatori sau sa malformeze buna desfasure a site-ului pe o periodata foarte lunga . Daca nu aveti un email la care sa trimiti un raport,puteti sa folositi si "Contact form"-ul lor ,dar: -Cand introduceti vectorul in raport pentru demonstratie,s-ar putea sa il filtreze/scoata din email (ex: Vodafone,cand am primit un reply , vectorul din raport era filtrat/scos) -O probabilitate mica este scoaterea aliniatelor (caz real la eBay) si distruge aspectul comercial. -Puteti primi un email de confirmare pentru instiintarea ca a fost primit sau trimis la un departament Alte aspecte: Dupa cum a-ti observat raportul este scris in engleza deoarece sunt mai multe sanse sa prezinta cineva interes si sa inteleaga problema din exteriorul Romaniei . Dupa cum a reamintit Andrei Avadanei , nu toti au aceasi idee cand primesc un asemenea raport, servicile cu care am colaborat erau "HoF"-uri sau programe gen "Bug Bounty" . La restu nu am primit nici un fel de multumire dar nici nu am asteptat la asa ceva,dar posibil sunt "firme" care vad un atac prin acest email . Daca credeti ca instiintarea dumneavoastra poate sa aiba efecte negative , sunt si alte metode. Daca aveti alte informati ,precum: intrebari/intamplari/opini/alte rapoarte, la care puteti sa da-ti un "share" pentru comunitate , aveti ocazia prin acest thread. Update #1: -In cazul in care colaborati cu firme care are programul de Bug Bounty activ ,din strainatate (gen Google) si va cere formularul W-8BEN , pentru a va tranfera bani, se va completa astfel: Optional: Printati formularul , il completati citabil , il scanati si il trimiteti. Update #2: -In cazul "Bug Bounty"-ul de la PayPal , contul poate sa aiba si statusul de "Unverified" ATENTIE! Este important sa stiti ca transferul de bani se face in email-ul prin care ati trimis raportul , deoarece nu iti vor cere email-ul in care doriti sa va transfera bani. Update #3: -Daca gasiti ceva in att.com , raportul dumneavoastra nu este luat in considerare daca nu sunteti inregistrati in programul "AT&T Developer API Program" , care costa 99$ Am avut tangenta ,dar nimic confirmat nici un fel de feedback. Recent am aflat ca trebuie sa fiu inscris in programul respectiv ca sa imi valideze rapoartele Va multumesc pentru atentia acordata!
×
×
  • Create New...