умышленный поиск и доступ к материалам, которые включены Минюстом РФ в список экстремистских материалов по решению суда (сейчас в нём около 5,5 тысяч материалов).
Это что получается - поисковое поле на сайте мин.юста - заведомо противозаконное..? 🤔
Исходя из моего (пока небольшого) опыта багхантинга и с учётом пристального мониторинга каждого моего слова командой VK и Standoff365 - я пока не могу позволить себе вальяжно и уверенно разбрасываться даже завуалированными частями отчётов, позволяющими выкинуть меня из платформы "за разглашение".
Здесь "разбор действий команды VK и Standoff365". В частности - о полном их молчании в ответ на представленные аргументы и заданные прямые вопросы, где ответ предполагает "да"/"нет".
"Изменение правил" я не ставлю как "ключевой" момент в споре. Просто отметил, что оно "имел место быть" и косвенно отразилось в нашей дискуссии и действиях вендора и арбитража.
Здесь я ничего не могу отнять/добавить или как-то возразить.. У каждого свой опыт. У меня он оказался "другим" и по ходу взаимодействия сложилось отдельное мнение касательно того что "хочет", "может" или "делает" команда VK и в чем она "заинтересована" (или "не заинтересована").
Более, чем озвучил - указать не могу, во избежание раскрытия деталей (даже косвенных). Но и сама статья не предполагает "технический" разбор (о чем указал в прологе) посему употребления с моей стороны будут исключительно "этот CWE", "другой CWE", "идентичный CWE" и т.п. Не обессудьте.
Лично мое мнение - вы сейчас в очень уязвимой позиции так как доводы @s3n_q более аргументированы
Ниже - мои дополнительные контраргументы. Если есть что возразить - буду раз ответить на любые вопросы по существу.
.. завязаны на том что вам не дали ссылки на отчеты других пользователей ..
Ну, это искажение фактов. Я нигде не просил "выдать ссылки на отчеты", или приведите цитату, где Вы это вычитали?
.. большая часть импактов уходит в дубликаты так как самые простые находят достаточно быстро и найти их не сложно. ..
В статье помимо "дубликатов" (без ответов на встречные вопросы) затрагиваются "информативные" (спорные) и "отклоненные" (также - без ответов на встречные вопросы и представленные аргументы). Но в целом с вами согласен, что это имеет место быть, если доказательства дублей легитимные и бесспорные. Иначе это выглядит как "прикрытие газеткой" уязвимостей.
Историю триажа (допустим с замыливанием каких-то отдельных частей) так-же можете раскрывать - не думаю что @s3n_q будет сильно против ))
Весь импакт был изначально оценен в первом отчете и в связи с тем, что угрозы для ИБ сервиса и пользователей не было
Здесь, касательно угрозы - я дал вам возможные сценарии. И не согласен с вашем мнением исходя из значимости MAX и в принципе отсутствия данных фич в других мессенджерах в том исполнении, как она реализована у вас (и что это за собой может повлечь). Но, вопрос спорный, поэтому его приостановил, до ответа госоргана с разъяснениями (мне почему-то кажется, что ответ с их стороны будет положительный). По данному отчету - вполне нормальная пауза в споре.
_______________________
2. О втором отчете (который "дубль весь"):
У автора статьи и автора оригинальной уязвимости, буквально одинаковые адреса и параметры в отчетах. То, что описание отчетов отличается - не значит, что это разные уязвимости
Это ложь. В моем отчете НЕТ параметров, а другой багхантер НЕ демонстрировал адреса
Чтобы дать максимальное количество информации и быть прозрачными для исследователя, мы одновременно сделали линк на оригинальный репорт багхантера
Спор между мной и арбитражем остановился на полном молчании арбитража в ответ на мое исследование, подтверждающее разность векторов. В письме я это описал подробно с цитированием технически несостоятельных контраргументов арбитра и могу сказать уверенно: если бы другой исследователь знал о моём векторе - он обязательно описал бы его, потому что это максимально критичный сценарий. Но он этого не сделал - значит, вектор был неизвестен. И я не "повторил" отчёт другого багхантера, а расширил вектор до максимально опасного сценария. Это не дубликат, а независимая, более критичная уязвимость, которая делает вектор и импакт другого багхантера - "второстепенным". Вы проигнорировали техническую разницу, оставив мои аргументы и прямые вопросы без ответа. И если вы не можете объяснить, почему разные CWE, разные векторы, разный импакт - это "одна и та же уязвимость" - ваше решение теряет всякую легитимность.
>> По третьей уязвимости - просто "дубль"... Без объяснений.. Без аргументов.. (очевидно потому, что две других уязвимости по мнению вендора оказались "дублями").
Тут автор или лукавит, или недоговаривает, т.к. информация была предоставлена в том же ответе и общий поинт ее был не в том, что это дубликат, а в том это валидное поведение.
А на последующие вопросы-то ("считаете ли это уязвимостью", "безусловно безопасным") - так и не ответили (ни вы, ни арбитраж)? И аргументы также проигнорировали..
Такжевы пишете:
Дубликат ставится тогда, когда проблема указанная в репорте, уже подсвечена либо другим исследователем, либо найдена в результате внутренних работ.
Если вы считаете, что скриншот с заголовком, под который можно подвести что угодно с полным отсутствием тела как такового (то есть - (!)ноль информации) - может быть принят мной как аргумент "дубля", то вот цитата из Положения о программах:
3.3. Отчету, содержащему данные о ранее известной Клиенту Уязвимости, может быть присвоен статус «Дубликат», если:
Отчет представляет собой описание Уязвимости, которая ранее была известна .. что было обозначено явным образом ..
И "явного образа" я не увидел ни в заголовке, ни в отмашке арбитра "у нас нет причин не доверять вендору", а его полемика "мы можем запросить подробности у вендора" (при уже де-факто принятом решении) - так и осталась полемикой, из чего могу сделать один вывод - пруфа просто нет.
____________________________
3. О третьем отчете:
Уязвимость про которую идет речь, может быть реализованна в двух случаях - или при эксплуатации MitM или если у злоумышленника есть доступ к компьютеру жертвы
Я и не спорил про MitM, а продемонстрировал другой (рабочий) PoCбез MitM и без доступа к компьютеру жертвы арбитру - ответа так и не получил. Ни в арбитраже, ни здесь.
_______________________
4. Касательно изменения правил постфактум:
Весьма любопытно
Вы пишете:
..>> триаж << данную ситуацию с изменением правил "на лету" никак не прокомментировал. ..
Здесь вы отвечаете на мой черновик, существовавший еще до публикации статьи. Понимаю, что с вами им поделилась команда Standoff365 на этапе его "модерации", но в той самой финальной версии статьи, которую вы видите сейчас - до "выхода в эфир" я исправил ошибочные термины и в данном контексте значится "арбитраж" (можете проверить, перечитав статью, де-факто после ее публикации никаких правок я не вносил)
Ирония в том, что именно моя опечатка ("триаж" вместо "арбитраж") - доказательство того, что вы читали мой черновик до публикации, (а не финальную статью), а значит знали о моих аргументах заранее и всё равно выбрали путь отрицания.
Но это мелочи.. Пусть просто как ремарка в спойлере висит. ;)
Вы пишете:
Если автор считает, что в нашем комментарии не указана позиция про изменение правил..
В статье я писал:
>> "..арбитрникак не прокомментировал сам факт изменения правил постфактум, за исключением: "ваш отчет рассматривается по предыдущим".
Я подчеркнул сам факт изменения правил постфактум с "разделением борща пополам" и то, что ваши совместные с арбитражем последующие действия и полемика - исключают предыдущие правила (и в целом упоминание всуе терминов, касающихся предыдущей версии). "Как есть", то бишь..
Но, как я и сказал - это не суть и не очень важно в контексте того, что я подал вам PoC без MitM и в принципе без разницы сейчас - по старым или по новым правилам вы его рассматриваете (вернее - не рассматриваете, т.к. ответа на PoC без MITM я так и не получил)
Хороший ответ. Очень жаль, что не получил на свои вопросы.
Или вы ответили (и вендор тоже)?
Странно, не вижу ни на почте ни в отчётах.
Я про те, которые подразумевают ответ "да/нет", а также дополнительное исследование другого CWE, которое опровергает ваши утверждения.
Ответов я пока не получил, кроме "наш диалог завершен" и странное предложение "мира, дружбы, жвачки" в отдельной переписке..
Ответьте же (только в почте, не здесь. Здесь не интересно, ибо я ничего не могу возразить аргументированно по существу, так как не собираюсь в бан раньше времени - я ж по правилам)..
На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести все правки в сайт и документы, и уведомить об этом РКН.
А если просто отключить сайт не дожидаясь 10 дней..? Скажем - на месяц-два.. ("выполнить правки" -> "уведомить" -> "включить")
Любопытства ради взял в руки калькулятор.. Считаю разницу (за эти 2 месяца):
Всего выплачено: 12 915 ты.р. Средняя выплата: n/a Выплачено за последние 90 дней2 месяца : 12 915 ты.р. Всего отчетов принято: 19 Всего отчетов сдано: 60
13k р. за 2 месяца и 19 принятых отчетов, Карл..
А за 1-й месяц: 8,5 мультов..
И это при минимальной обещанной сумме в 30k за уязвимость "низкого" уровня:
Кто может логически объяснить - в чем прикол сей динамики? Все дыры закрыты, уязвимостей больше нет? Кончились деньги? Белым хакерам это уже не интересно..? 🤔
Смех смехом, но я как раз занимаюсь его тестированием в баг-баунти.. Сегодня понадобилось зарегать 2-ю сим-ку, ну, я ж как обычно - андройд-эмуль, "макс" с аптудауна качнул, зашел и.. вышел... 😂
Походу там перегруз и они сами немного уху ели из-за собственного нововведения..))
Это что получается - поисковое поле на сайте мин.юста - заведомо противозаконное..? 🤔
Я тоже про MAX писал))
Но моя статья стремительно упала в просмотрах почему-то.
Егор 451 по причине:
У нас запрещен ютуб? 🤔
Не знал..
Фигурально выражаясь (зеркально оперируя Вашим примером): другой бахгантер сдал "SQLi", а позже я принес "RCE через SQLi"" и меня задублили..
Исходя из моего (пока небольшого) опыта багхантинга и с учётом пристального мониторинга каждого моего слова командой VK и Standoff365 - я пока не могу позволить себе вальяжно и уверенно разбрасываться даже завуалированными частями отчётов, позволяющими выкинуть меня из платформы "за разглашение".
Здесь "разбор действий команды VK и Standoff365". В частности - о полном их молчании в ответ на представленные аргументы и заданные прямые вопросы, где ответ предполагает "да"/"нет".
Минусы: [нет]
Плюсы:
Батарея перестала кущать как не в себя аккумулятор до вечера
Перестали тормозить смартфоны
Мозг не забит всякой дрянью и рекламой
Закачай отцу и себе twinme.
"Изменение правил" я не ставлю как "ключевой" момент в споре. Просто отметил, что оно "имел место быть" и косвенно отразилось в нашей дискуссии и действиях вендора и арбитража.
Здесь я ничего не могу отнять/добавить или как-то возразить.. У каждого свой опыт. У меня он оказался "другим" и по ходу взаимодействия сложилось отдельное мнение касательно того что "хочет", "может" или "делает" команда VK и в чем она "заинтересована" (или "не заинтересована").
Более, чем озвучил - указать не могу, во избежание раскрытия деталей (даже косвенных). Но и сама статья не предполагает "технический" разбор (о чем указал в прологе) посему употребления с моей стороны будут исключительно "этот CWE", "другой CWE", "идентичный CWE" и т.п.
Не обессудьте.
Ниже - мои дополнительные контраргументы. Если есть что возразить - буду раз ответить на любые вопросы по существу.
Ну, это искажение фактов. Я нигде не просил "выдать ссылки на отчеты", или приведите цитату, где Вы это вычитали?
В статье помимо "дубликатов" (без ответов на встречные вопросы) затрагиваются "информативные" (спорные) и "отклоненные" (также - без ответов на встречные вопросы и представленные аргументы). Но в целом с вами согласен, что это имеет место быть, если доказательства дублей легитимные и бесспорные. Иначе это выглядит как "прикрытие газеткой" уязвимостей.
Спасибо за совет, но воздержусь пожалуй..;)
По существу:
1. О первом отчете:
Здесь, касательно угрозы - я дал вам возможные сценарии. И не согласен с вашем мнением исходя из значимости MAX и в принципе отсутствия данных фич в других мессенджерах в том исполнении, как она реализована у вас (и что это за собой может повлечь). Но, вопрос спорный, поэтому его приостановил, до ответа госоргана с разъяснениями (мне почему-то кажется, что ответ с их стороны будет положительный).
По данному отчету - вполне нормальная пауза в споре.
_______________________
2. О втором отчете (который "дубль весь"):
Это ложь. В моем отчете НЕТ параметров, а другой багхантер НЕ демонстрировал адреса
Спор между мной и арбитражем остановился на полном молчании арбитража в ответ на мое исследование, подтверждающее разность векторов. В письме я это описал подробно с цитированием технически несостоятельных контраргументов арбитра и могу сказать уверенно: если бы другой исследователь знал о моём векторе - он обязательно описал бы его, потому что это максимально критичный сценарий. Но он этого не сделал - значит, вектор был неизвестен.
И я не "повторил" отчёт другого багхантера, а расширил вектор до максимально опасного сценария.
Это не дубликат, а независимая, более критичная уязвимость, которая делает вектор и импакт другого багхантера - "второстепенным".
Вы проигнорировали техническую разницу, оставив мои аргументы и прямые вопросы без ответа.
И если вы не можете объяснить, почему разные CWE, разные векторы, разный импакт - это "одна и та же уязвимость" - ваше решение теряет всякую легитимность.
А на последующие вопросы-то ("считаете ли это уязвимостью", "безусловно безопасным") - так и не ответили (ни вы, ни арбитраж)? И аргументы также проигнорировали..
Также вы пишете:
Если вы считаете, что скриншот с заголовком, под который можно подвести что угодно с полным отсутствием тела как такового (то есть - (!)ноль информации) - может быть принят мной как аргумент "дубля", то вот цитата из Положения о программах:
И "явного образа" я не увидел ни в заголовке, ни в отмашке арбитра "у нас нет причин не доверять вендору", а его полемика "мы можем запросить подробности у вендора" (при уже де-факто принятом решении) - так и осталась полемикой, из чего могу сделать один вывод - пруфа просто нет.
____________________________
3. О третьем отчете:
Я и не спорил про MitM, а продемонстрировал другой (рабочий) PoC без MitM и без доступа к компьютеру жертвы арбитру - ответа так и не получил. Ни в арбитраже, ни здесь.
_______________________
4. Касательно изменения правил постфактум:
Весьма любопытно
Здесь вы отвечаете на мой черновик, существовавший еще до публикации статьи. Понимаю, что с вами им поделилась команда Standoff365 на этапе его "модерации", но в той самой финальной версии статьи, которую вы видите сейчас - до "выхода в эфир" я исправил ошибочные термины и в данном контексте значится "арбитраж" (можете проверить, перечитав статью, де-факто после ее публикации никаких правок я не вносил)
Ирония в том, что именно моя опечатка ("триаж" вместо "арбитраж") - доказательство того, что вы читали мой черновик до публикации, (а не финальную статью), а значит знали о моих аргументах заранее и всё равно выбрали путь отрицания.
Но это мелочи.. Пусть просто как ремарка в спойлере висит. ;)
Вы пишете:
В статье я писал:
Я подчеркнул сам факт изменения правил постфактум с "разделением борща пополам" и то, что ваши совместные с арбитражем последующие действия и полемика - исключают предыдущие правила (и в целом упоминание всуе терминов, касающихся предыдущей версии).
"Как есть", то бишь..
Но, как я и сказал - это не суть и не очень важно в контексте того, что я подал вам PoC без MitM и в принципе без разницы сейчас - по старым или по новым правилам вы его рассматриваете (вернее - не рассматриваете, т.к. ответа на PoC без MITM я так и не получил)
Здрасьте команда)
Хороший ответ. Очень жаль, что не получил на свои вопросы.
Или вы ответили (и вендор тоже)?
Странно, не вижу ни на почте ни в отчётах.
Я про те, которые подразумевают ответ "да/нет", а также дополнительное исследование другого CWE, которое опровергает ваши утверждения.
Ответов я пока не получил, кроме "наш диалог завершен" и странное предложение "мира, дружбы, жвачки" в отдельной переписке..
Ответьте же (только в почте, не здесь. Здесь не интересно, ибо я ничего не могу возразить аргументированно по существу, так как не собираюсь в бан раньше времени - я ж по правилам)..
Очень хороший отрывочек)
Жаль, что сам не имею права раскрыть его пошире. Ну и ладно..
Может по остальным вопросам ответы найдете и выложите их тут? ;)
Видел эту новость, но это не то..
Я - о защите прав.
А если просто отключить сайт не дожидаясь 10 дней..? Скажем - на месяц-два..
("выполнить правки" -> "уведомить" -> "включить")
Было дело.. Валялась давеча фулл-базка где-то на трекере давеча.
На дворе 3.10.2025.. Прошло без малого 2 месяца со дня публикации статьи..
https://bugbounty.standoff365.com/programs/max
Любопытства ради взял в руки калькулятор.. Считаю разницу (за эти 2 месяца):
Всего выплачено: 12 915 ты.р.
Средняя выплата: n/a
Выплачено за последние
90 дней2 месяца : 12 915 ты.р.Всего отчетов принято: 19
Всего отчетов сдано: 60
13k р. за 2 месяца и 19 принятых отчетов, Карл..
А за 1-й месяц: 8,5 мультов..
И это при минимальной обещанной сумме в 30k за уязвимость "низкого" уровня:
Кто может логически объяснить - в чем прикол сей динамики?
Все дыры закрыты, уязвимостей больше нет? Кончились деньги? Белым хакерам это уже не интересно..? 🤔
Пацаны, не модифицируйте мод)), оставьте всё "как есть".. 😁😁😁
Смех смехом, но я как раз занимаюсь его тестированием в баг-баунти..
Сегодня понадобилось зарегать 2-ю сим-ку, ну, я ж как обычно - андройд-эмуль, "макс" с аптудауна качнул, зашел и.. вышел... 😂
Походу там перегруз и они сами немного уху ели из-за собственного нововведения..))