Комментарии 46
«Участвовать могут все, кроме сотрудников Badoo.»
Нуууу воооооот :-(
Нуууу воооооот :-(
500 британских фунтов = 23 258.1461 российских рубля
А страничка с благодарностями будет? :)
А супер-премия за найденные уязвимости будет вычитаться из заплат сотрудников, которые работали над сервисами? ;-)
В тред приглашается Chikey!
Как думаешь, найдётся что-нибудь? Будешь участвовать?
Как думаешь, найдётся что-нибудь? Будешь участвовать?
Тестеров Баду будут «вжаривать» на эти деньги и платить их тому, кто нашел баги на сайте )
HATER-MODE:ON
А не санкционированное пользователем использование его персональных данных для рассылки спама уже счита́ется багом? А то давно компанией не интересовался.
Подскажите, какую вы БД используете?
При попытке зарегистрироваться перебрасывает на badoo.com/static/error-server.html
Отправил парочку. Может как будет время еще погляжу.
У вас хороший сайт :)
Жаль что не на dating.ru или kisses.ru, вот там уже удалось найти особо не напрягаясь.
Жаль что не на dating.ru или kisses.ru, вот там уже удалось найти особо не напрягаясь.
Как вы поступите, если несколько человек найдут одну и ту же уязвимость?
Если премию получит только первый — нечестно и возможно подозрительно для того, кто получит отказ из за дубликата.
Если все, кто прислал — то это повод запостить уязвимость несколько раз и получить приз несколько раз.
Единственный «безобманный» способ — держать все найденные уязвимости публично — но это не вариант.
Если премию получит только первый — нечестно и возможно подозрительно для того, кто получит отказ из за дубликата.
Если все, кто прислал — то это повод запостить уязвимость несколько раз и получить приз несколько раз.
Единственный «безобманный» способ — держать все найденные уязвимости публично — но это не вариант.
Если премию получит только первый — нечестно и возможно подозрительно для того, кто получит отказ из за дубликата.
Отчего ж нечестно? — Как и во многих конкурсах выигрывает самый быстрый среди правильных.
Подозрительно? — Это извечный вопрос доверия. В данном случае — доверия членам жюри или компании в целом. Честно говоря, ради нескольких тысяч рублей я бы не стал рисковать своей репутацией или авторитетом. Оно того не стоит.
Да, я понимаю что из трёх вариантов выбран первый.
Конечно же я не думаю, что Badoo ради нескольких тысяч будет портить карму на хабре.
Комментарий задумывался с юмористическим оттенком и закосом в сторону «поиска уязвимости»
Но, «в каждой шутке есть доля шутки», при таком раскладе на простые уязвимости за 50 фунтов вообще не нужно обращать внимание, тк велика вероятность что их уже до меня запостили и я ничего не получу. Можно рискнуть своим временем, и пойти дальше — но риск потратить впустую день из за 100 фунтов всё таки велик.
Это не утверждения, а догадки.
Если у вас есть доступ к БД текущих уязвимостей, не могли бы вы сказать сколько из них дублируется?
Конечно же я не думаю, что Badoo ради нескольких тысяч будет портить карму на хабре.
Комментарий задумывался с юмористическим оттенком и закосом в сторону «поиска уязвимости»
Но, «в каждой шутке есть доля шутки», при таком раскладе на простые уязвимости за 50 фунтов вообще не нужно обращать внимание, тк велика вероятность что их уже до меня запостили и я ничего не получу. Можно рискнуть своим временем, и пойти дальше — но риск потратить впустую день из за 100 фунтов всё таки велик.
Это не утверждения, а догадки.
Если у вас есть доступ к БД текущих уязвимостей, не могли бы вы сказать сколько из них дублируется?
Если репорт про уязвимость дублируется, то деньги за за него получает только первый участник.
Как только мы фиксим уязвимость, на сайте в таблице появляется его имя с описанием уязвимости и дата создания тикета.
Мы думаем, что это сделает процедуру более прозрачной.
Как только мы фиксим уязвимость, на сайте в таблице появляется его имя с описанием уязвимости и дата создания тикета.
Мы думаем, что это сделает процедуру более прозрачной.
в вашу форму для отправки репорта файлы как-то кривовато цепляются — не всегда есть кнопка прикрепить еще один файл, плюс автоответа пока так и не пришло 2м человекам
З.Ы. а еще там сама форма на странице без https ;)
З.Ы. а еще там сама форма на странице без https ;)
Добрый день!
Автоответ высвечивается при отправке формы.
А ответ каждому участнику мы отправляем руками, т.к. нам нужно немного времени на то, чтобы понять уязвимость ли нам прислали или нет.
Автоответ высвечивается при отправке формы.
А ответ каждому участнику мы отправляем руками, т.к. нам нужно немного времени на то, чтобы понять уязвимость ли нам прислали или нет.
Чтобы не вводить никого в заблуждение, заменили в описании автоответ на: «Если форма заполнена верно, то высвечивается сообщение о том, что все хорошо и репорт улетел к нам».
И тут началось: разрабы делают уязвимости, сообщают свои знакомым, подкупают тесторов, а тикеты с уязвимостями плодятся. Это же Россия ;)
Запустили таблицу, в которой будет появляться информация по устраненным уязвимостям и заявкам, которые взяли в работу: corp.badoo.com/security
Уточняющий вопрос: если в таблице стоит статус «Решено», эта уязвимость реально пофикшена? Я к тому, имеет ли смысл проверять, например, как вы пофиксили чужие уязвимости, для которых стоит такой статус с зеленой галкой. Может, есть какой-то другой способ обойти фикс и т.п.
Есть небольшое предложение, если не сложно: разослать в конце конкурса всем нашедшим уязвимости, что-то в духе благодарственного письма. Нашедшим приятно, плюсик в пацанскую карму и резюме пентестера.
Я вместо уязвимости женщину себе нашел. Спасибо ребят!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Проверь Badoo на прочность! Месяц поиска уязвимостей