neox Posted May 9, 2014 Report Share Posted May 9, 2014 We at Offensive Security regularly conduct vulnerability research and are proponents of coordinated disclosure. Although we make every effort to secure our presence on the Internet, there are inevitably issues that escape our notice and for those individuals that find vulnerabilities in our sites before we do, we have implemented the Offensive Security Bug Bounty program.Qualifying vulnerabilities that are found in our sites and reported to us are eligible for a reward based on the category they fall into, based on severity. All reward amounts are paid in US dollars and payment is made via PayPal or bank wire transfer only. Reflected / DOM based XSS vulnerabilities, post authentication issues, file path disclosures, directory listings, CSRF, version disclosures and other similar issues are NOT covered by our bounty program. We of course, reserve the right to refuse any application.The following table provides several bug classes and their corresponding bounty. While not all bug classes are covered by this list, you may get a sense of severity vs. reward by examining the following examples.http://bit.ly/1mI1YmP Quote Link to comment Share on other sites More sharing options...
mah_one Posted May 9, 2014 Report Share Posted May 9, 2014 (edited) Aveti cuvantul meu ca nu sunt seriosi astia...Sunt ei mari, dar nu inteleg ce e ala un bugbounty...Vechea poveste, am gasit ceva si am trimis, si nu mi-au raspuns crezand ca imi bat joc de ei...Sa va zic si de ce nu sunt seriosi:Nu stiu cum au configurat serverele, dar puteai sa intrii pe virtual host-uri din reteaua lor.Am gasit foarte multe virtual host-uri cu directory listing, si foarte multa informatie, ideea era ca le-am demonstrat ca pot intra in reteaua lor prin bruteforce pe Virtual Host-uri.Eu m-am oprit la unul care avea foarte multe robots.txt de la diverse site-uri care nu cred ca au legatura cu ei, dar fie, uite acum ma gandesc ca poate erau clienti ceva... Probabil doreau sa le arat un panou de administrare si cu nus ce hack...Le-am trimis un raport si nici nu si-au batut capul cu mine sa imi raspunda. Dupa 2 luni, i-am rugat sa imi dea un feedback si mi-au raspuns: "chiar mai era necesar un raspuns? nu ai gasit nimic....". Nu mai specific ca au reparat problema, iar acum au restrictionat accesul la acele Virtual Host-uri care nu sunt accesibile din internet.Imi apare mesajul: "<title>Sucuri WebSite Firewall - CloudProxy - Access Denied</title>" Edited May 9, 2014 by mah_one Quote Link to comment Share on other sites More sharing options...
Stealth Posted May 9, 2014 Report Share Posted May 9, 2014 Dac? le povestesc cum "au fost spar?i" de Happy Ninjas în cel mai micu? detaliu, oare m? premiaz? cu vreo recompens?? Pentru c? strrev("stum"); Quote Link to comment Share on other sites More sharing options...
neox Posted May 9, 2014 Author Report Share Posted May 9, 2014 Aveti cuvantul meu ca nu sunt seriosi astia...Sunt ei mari, dar nu inteleg ce e ala un bugbounty...Vechea poveste, am gasit ceva si am trimis, si nu mi-au raspuns crezand ca imi bat joc de ei...Sa va zic si de ce nu sunt seriosi:Nu stiu cum au configurat serverele, dar puteai sa intrii pe virtual host-uri din reteaua lor.Am gasit foarte multe virtual host-uri cu directory listing, si foarte multa informatie, ideea era ca le-am demonstrat ca pot intra in reteaua lor prin bruteforce pe Virtual Host-uri.Eu m-am oprit la unul care avea foarte multe robots.txt de la diverse site-uri care nu cred ca au legatura cu ei, dar fie, uite acum ma gandesc ca poate erau clienti ceva... Probabil doreau sa le arat un panou de administrare si cu nus ce hack...Le-am trimis un raport si nici nu si-au batut capul cu mine sa imi raspunda. Dupa 2 luni, i-am rugat sa imi dea un feedback si mi-au raspuns: "chiar mai era necesar un raspuns? nu ai gasit nimic....". Nu mai specific ca au reparat problema, iar acum au restrictionat accesul la acele Virtual Host-uri care nu sunt accesibile din internet.Imi apare mesajul: "<title>Sucuri WebSite Firewall - CloudProxy - Access Denied</title>"Trebuia sa faci un video demo cu ce ai reusit, totdeauna este bine sa ai ceva la mina pentru a demonstra inafara de raportul facut Bosko Petrovic (bolexxx) se ocupa cu virtual host-uri pe offenisve poate a vrut sa nu se faca de ris daca avei video acuma cum a facut anuntul cu bug bounty ii faceai de cacao Dac? le povestesc cum "au fost spar?i" de Happy Ninjas în cel mai micu? detaliu' date=' oare m? premiaz? cu vreo recompens?? Pentru c? strrev("stum"); [/quote']Se mai intampla si la case mari Quote Link to comment Share on other sites More sharing options...
scufita Posted May 9, 2014 Report Share Posted May 9, 2014 Tincode tu te ocupi de securitatea site-lui cybersmartdefence.com View image: tincode View image: tincode3 View image: tincode 2 down View image: tincode 4 Quote Link to comment Share on other sites More sharing options...
Byte-ul Posted May 9, 2014 Report Share Posted May 9, 2014 Tincode tu te ocupi de securitatea site-lui cybersmartdefence.com View image: tincode View image: tincode3 View image: tincode 2 down View image: tincode 4wow, ai dat ddos, ce bun esti coaie. Quote Link to comment Share on other sites More sharing options...
Active Members dancezar Posted May 9, 2014 Active Members Report Share Posted May 9, 2014 Tincode tu te ocupi de securitatea site-lui cybersmartdefence.com View image: tincode View image: tincode3 View image: tincode 2 down View image: tincode 4Good job! esti cel mai bun frate , felicitari ma intreb cum ai reusit?</scarcasm> Quote Link to comment Share on other sites More sharing options...
aelius Posted May 9, 2014 Report Share Posted May 9, 2014 (edited) Securitatea nu are nicio legatura cu protectia DDoS. Orice, dar absolut ORICE pica la DDoS. Totul depinde de latimea de banda, de acolo pleaca tot.Ce ai facut tu acolo e lame.// ontopic: din cate stiu, offensive security e al lui todd (cel cu packetsormsecurity). Intr-un timp lucra pe la Yahoo. Edited May 9, 2014 by aelius Quote Link to comment Share on other sites More sharing options...
Stealth Posted May 9, 2014 Report Share Posted May 9, 2014 Tincode tu te ocupi de securitatea site-lui cybersmartdefence.com View image: tincode View image: tincode3 View image: tincode 2 down View image: tincode 4M? pu?ifer, când ai f?cut screenshot-urile alea f?ceam un update. Nu l-ai picat tu serverul. Mai încearc? înc? odat? ?i o s? vezi c? e?ti prost. Damn, de unde ap?re?i m?? Quote Link to comment Share on other sites More sharing options...
scufita Posted May 9, 2014 Report Share Posted May 9, 2014 Cu siguranta il voi mai da jos in viitorul apropiat . Tin Quote Link to comment Share on other sites More sharing options...
neox Posted May 10, 2014 Author Report Share Posted May 10, 2014 // ontopic: din cate stiu, offensive security e al lui todd (cel cu packetsormsecurity). Intr-un timp lucra pe la Yahoo.Dupa cum stiu eu Offensive Security ii apartine lui Mati Aharoni daca nu ma insel.BackTrack - Wikipedia, the free encyclopedia Quote Link to comment Share on other sites More sharing options...
mah_one Posted May 10, 2014 Report Share Posted May 10, 2014 Trebuia sa faci un video demo cu ce ai reusit, totdeauna este bine sa ai ceva la mina pentru a demonstra inafara de raportul facut Bosko Petrovic (bolexxx) se ocupa cu virtual host-uri pe offenisve poate a vrut sa nu se faca de ris daca avei video acuma cum a facut anuntul cu bug bounty ii faceai de cacao Se mai intampla si la case mari Bug bounty au din decembrie 2013, tin minte ca imediat ce au dat anuntul am si cautat probleme.Mi-a ajuns deja cu cei de la paypal, nu vreau sa ma mai cert cu nimeni din simplul motiv ca tot eu ies prost.Am mai patit asa si cu unii din olanda, parteneri ebay.Cel mai penibil a fost cand am trimis un iframe la unii ce au doar hall of fame, iar ei mi-au executat acel iframe.Apoi le-am aratat de unde au executat (admin panel luat din referer), iar ei ca niste nesimtiti nu au vrut sa recunoasca... Chiar nu are rost sa iti bati capul cu unii. Quote Link to comment Share on other sites More sharing options...
