По поводу @HNews, там раньше было множество источников типа securitylab, cnews и еще парочка менее популярных ресурсов, но из-за слишком одинаковых новостей и (или) низкого качества их всех повыпиливали :)
Там я хотел как всегда что-либо поломать, получить за это приз, и т.д., но как я выяснил — интересных задач там не было, и пришлось развлекать себя самому.
Ты разработчик сейфов. И ты объявил конкурс, что если кто-то взломает твой сейф — получит деньги.
Ты случайно оставляешь во дворе на лавочке ключи от квартиры, я проверив, не ханипот ли это, открываю твою квартирную дверь. Как оказалось, в связке ключей еще и ключи от машины и офиса. А этим можно нанести огромный ущерб.
Уязвимость ли это?
Любая компания не может раскидываться деньгами налево-направо, есть программа Bug Bounty, с условиями конкурса, на который выделен бюджет. Просто платить из кармана (с своей зарплаты) никто не хочет.
Да, это мощная утечка, инцидент, оплошность работника, но награду за это никто не обещал и ничего не должен. Как за утерю паспорта. Или ключей. Можно договориться чисто на человеческих отношениях, не более.
Ну обычно пишут имя и фамилию, даже при незавершенных операциях (сбер, тинков), это нужно для того, чтобы удостовериться, что перевод не ошибочный, потому что возврат средств практически невозможен. А то, что ФИО показывается полностью, скорее всего да, бага.
Еще есть всякие X-Rewrite-Url :)
Ничего не выйграл @ конфа шлак
github.com/wireghoul/htshells
*всматривается в аватарку автора*
Ты случайно оставляешь во дворе на лавочке ключи от квартиры, я проверив, не ханипот ли это, открываю твою квартирную дверь. Как оказалось, в связке ключей еще и ключи от машины и офиса. А этим можно нанести огромный ущерб.
Уязвимость ли это?
Любая компания не может раскидываться деньгами налево-направо, есть программа Bug Bounty, с условиями конкурса, на который выделен бюджет. Просто платить из кармана (с своей зарплаты) никто не хочет.
Да, это мощная утечка, инцидент, оплошность работника, но награду за это никто не обещал и ничего не должен. Как за утерю паспорта. Или ключей. Можно договориться чисто на человеческих отношениях, не более.
Вот тебе и white hat :D