Если компания не объявляла о наличии BugBounty программы, то хорошо что еще поблагодарили, а не обвинили во взломе.
Насчёт материального поощрения - ваше обращение принял оператор поддержки, у которого нет полномочий и ресурсов выдавать какие-то награды, но которому, скорее всего, обязательно нужно ответить на ваше обращение согласно рабочему процессу. Без налаженного процесса BugBounty нужно чтобы ваши отчёты дошли до кого-то, у кого есть ресурсы, полномочия и желание поблагодарить вас.
Как правило, угрозы ИБ недооценивают до первого серьёзного инцидента. Распределением ресурсов занимаются менеджеры - и пока они на собственном опыте не почувствуют зачем нужно ИБ, они не видят смысла выделять деньги на это.
И, кстати, когда закрыть уязвимость стоит дороже, чем последствия ее эксплуатации - в этом действительно нет смысла.
WAF не является основной мерой защиты - скорее профилактической.
В ретроспективе понятно, что стоило бы отключить данное правило. А лучше отключить сработки WAF на эндпоинты, куда пользователи отправляют текст статей или комментариев. Но заранее предусмотреть каждую мелочь - дело непростое.
В комментах пишут про некомпетентных безопасников, но, скорее всего, все еще прозаичнее - это дефолтное правило WAF, который установили в компании. В подавляющем большинстве приложений передача в запросе /etc/passwd, вероятнее всего, означает, что запросы исходят от хакера или исследователя безопасности, и срабатывание WAF будет вполне оправданно. Но в данном случае не учтена специфика приложения.
Было бы интересно узнать подробнее как вы использовали ChatGPT в обучении. Кажется, я пока использую LLM только как продвинутый поисковик и не получаю всех преимуществ.
HackTheBox это платформа для обучения и тренировки, а не для BugBounty. Кажется, не очень корректно ставить ее в опросе с другими BugBounty-платформами.
Если компания не объявляла о наличии BugBounty программы, то хорошо что еще поблагодарили, а не обвинили во взломе.
Насчёт материального поощрения - ваше обращение принял оператор поддержки, у которого нет полномочий и ресурсов выдавать какие-то награды, но которому, скорее всего, обязательно нужно ответить на ваше обращение согласно рабочему процессу. Без налаженного процесса BugBounty нужно чтобы ваши отчёты дошли до кого-то, у кого есть ресурсы, полномочия и желание поблагодарить вас.
Как правило, угрозы ИБ недооценивают до первого серьёзного инцидента. Распределением ресурсов занимаются менеджеры - и пока они на собственном опыте не почувствуют зачем нужно ИБ, они не видят смысла выделять деньги на это.
И, кстати, когда закрыть уязвимость стоит дороже, чем последствия ее эксплуатации - в этом действительно нет смысла.
Что же такое WAF, если это не мера защиты?
WAF не является основной мерой защиты - скорее профилактической.
В ретроспективе понятно, что стоило бы отключить данное правило. А лучше отключить сработки WAF на эндпоинты, куда пользователи отправляют текст статей или комментариев. Но заранее предусмотреть каждую мелочь - дело непростое.
В комментах пишут про некомпетентных безопасников, но, скорее всего, все еще прозаичнее - это дефолтное правило WAF, который установили в компании. В подавляющем большинстве приложений передача в запросе /etc/passwd, вероятнее всего, означает, что запросы исходят от хакера или исследователя безопасности, и срабатывание WAF будет вполне оправданно. Но в данном случае не учтена специфика приложения.
Было бы интересно узнать подробнее как вы использовали ChatGPT в обучении. Кажется, я пока использую LLM только как продвинутый поисковик и не получаю всех преимуществ.
HackTheBox это платформа для обучения и тренировки, а не для BugBounty. Кажется, не очень корректно ставить ее в опросе с другими BugBounty-платформами.