Jump to content
gabyyy

De ce nu se merita sa raportezi vulnerabilitati la site-uri romanesti

Recommended Posts

Acum cateva zile am gasit un redirect in bancatransilvania.ro . Le-am dat mail si le-am zis ca vreau sa raportez o vulnerabilitate in site-ul lor de tip Open redirect. I-am intrebat daca ofera recompensa pentru raportarea vulnerabilitatii (nu le-am zis link-ul cu care se poate face redirect; oricum era pe prima pagina). Peste cateva ore au rezolvat redirect-ul si nu mi-au raspuns la mail. A 2-a zi le-am dat mail iar si le-am zis ca am observat ca au reparat vulnerabilitatea si ca as vrea totusi raspuns la intrebare. Dupa cateva ore mi-au trimis un mail cu un raspuns generic automat.

Le-am dat mail iar si le-am zis ca astept raspuns la intrebare. Nu mi-au mai raspuns deloc.

La fel si cu BCR. Am gasit un SQLi in pensiibcr.ro si le-am dat acelasi mail (le-am zis ca e o vulnerabilitate de tip sqli si daca dau recompensa). Au reparat problema dar nu au dat niciun raspuns.

Edited by gabyyy
Link to comment
Share on other sites

Acum cateva zile am gasit un redirect in bancatransilvania.ro . Le-am dat mail si le-am zis ca vreau sa raportez o vulnerabilitate in site-ul lor de tip Open redirect. I-am intrebat daca ofera recompensa pentru raportarea vulnerabilitatii (nu le-am zis link-ul cu care se poate face redirect; oricum era pe prima pagina). Peste cateva ore au rezolvat redirect-ul si nu mi-au raspuns la mail. A 2-a zi le-am dat mail iar si le-am zis ca am observat ca au reparat vulnerabilitatea si ca as vrea totusi raspuns la intrebare. Dupa cateva ore mi-au raspuns:

"Va multumim pentru sesizarea dumneavoastra si va asiguram ca cele semnalate de dumneavoastra au fost directionate catre departamentul abilitat, pentru a efectua verificarile necesare.

Ne cerem scuze pentru orice neplacere creata de aceasta situatie si va asiguram de intreaga noastra disponibilitate in a clarifica orice alte aspecte pe care le considerati necesare.

Va stam in continuare la dispozitie pentru orice informatii si la numerele de telefon Call Center: 0801 01 01 28, 0264 308028, *8028 (din retelele Vodafone si Orange).

Cu stima,"

Le-am dat mail iar si le-am zis ca astept raspuns la intrebare. Nu mi-au mai raspuns deloc.

La fel si cu BCR. Am gasit un SQLi in pensiibcr.ro si le-am dat acelasi mail (le-am zis ca e o vulnerabilitate de tip sqli si daca dau recompensa). Au reparat problema dar nu au dat niciun raspuns.

Bulangii?

Nu ai nici un motiv sa fi frustrat.

Te-au rugat ei sa le testezi site-ul? Ai contract cu ei si nu ti-au dat banii?

Eu nu inteleg care e problema ta. Normal ca nu se merita sa cauti probleme in banci, de ce?

1. poti fi acuzat

2. nu ei te-au pus si nu sunt obligati sa te plateasca.

Sincer, si eu cautam ca tine probleme prin website-uri si ma asteptam la bani, iar cand nu primeam ceva, taceam si gata.

Link to comment
Share on other sites

De ce cauti vulnerabilitati in acele site-uri? Te plictisesti? Nu e un motiv valid.

Practic, nu cauti probleme in "orice"' site, cauti in anumite site-uri. Daca nu conteaza in ce site gasesti ceva, fie ca e XSS, SQLI sau orice altceva, inseamna ca esti gay. Gasesti probleme in urmatoarele cazuri:

1. Intr-un site cu Bug Bounty aka ca sa faci bani

2. Cand posestorii site-urilor iti ofera permisiunea (in scris) de a face acest lucru

3. Intr-un site unde crezi ca ai gasii chestii interesante si in cazu asta iti ti-i gura si nu postezi nici pe RST si nici nu le dai mail

4. Intr-un site pe care ai boala, de exemplu sa iti bati pula de Mircea Badea aka deface cu "Muie" scris cu font 72.

5. Ca sa te dai smecher ca esti smecher ca ce smecher esti ca ai gasit SQLI intr-un site pe care poate l-a facut Gigel care a invatat si el putin PHP, si sa le dai link prietenilor ca sa le demonstrezi teorema aceasta

Ca te plictisesti sau ca vrei sa inveti nu sunt motive valide, iar singurele cazuri acceptate sunt primele 2, la celelalte risti sa ai probleme.

Daca vrei sa faci fapte bune, sa stii ca nu se merita. Daca chiar vrei sa fie ok, trimite un mail INAINTE, zi-le ca esti pasionat pula-n-pizda si ca vrei sa vezi daca sunt probleme si ca le raportezi. Daca accepta, o faci. Daca nu accepta, nu o faci.

Si totusi, oricare ar fi cazurile de mai sus, iti sugerez sa folosesti "Tor" sau orice altceva pentru a-ti ascunde IP-ul, sa nu le raportezi problemele de pe gigel.gheorghe@gmail.com unde acela e numele tau si nici sa nu postezi pe undeva de pe vreun username dupa care ti-ai dat datele publice. Asta in general, daca e un site micut nu o sa ii pese nimanui.

Povestea e mai lunga, o sa intelegi tu cu timpul, de preferat fara sa treci prin probleme pentru asta.

Link to comment
Share on other sites

Faptul ca tu ai raportat o vulnerabilitate nu iti garanteaza obtinerea unei recompense in cazul in care site-urile nu au anuntat ca ofera in mod expres ceva pentru munca de cautare depusa de tine.

Tu ai gasit o vulnerabilitate si ai vrut sa le indici locatia in cazul in care iti convine recompensa propusa de ei. Ei au preferat sa-si puna echipa sa caute singura problema si sa faca abstractie de ajutorul oferit de tine.

Aveai doua variante:

-Sa incerci sa exploatezi situatia in mod ilegal, asumandu-ti toate riscurile;

-Sa faci ce ai facut cu riscul de a nu primi nimic;

Ai preferat varianta 2.

Trebuia sa constientizezi ca nu e nimeni obligat sa-ti ofere nimic pentru un astfel de serviciu.

Daca oamenii lor au fost capabili singuri sa depisteze problema, atunci nu vad de ce ar fi trebuit sa-ti ofere tie ceva.

Edited by crs12decoder
Link to comment
Share on other sites

au dreptate baietii, oricum eu sincer te felicit ca ai gasit acele vulnerabilitatii. Si sa nu fi frustrat daca nu ai primit nici o recompensa sau un simplu muntumesc. Desi le-ai facut o mare favoare raportand acea bresa, ar fi trebuit sa se simta putin si sa aprecieze efortul tau.

Iti propun sa nu te descurajezi si sa mergi mai departe, in ceea ce faci, vei gasi la un moment dat si oamenii care te vor recompensa si vor sti sa aprecieze o munca bine meritata. :)

mult succes prietene!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...