Был бы я на твоем месте, я бы посоветовался с знающими людьми, что делать в такой ситуации. У QIWI существует программа по поиску ошибок, на HackerOne. Ты мог отправить отчет, и получить благодарность от компании тем самым повысив свою репутацию.
Тем самым ты поднял репутацию, получил «bounty» и все остались довольны.
Статья интересная, но нужно было довести дело и не показать что сотрудник «останется без работы».
Вы можете просматривать системные файлы vpn сервиса, в некоторых файлах могут хранятся сессионые куки, пороли их главное найти. Обычно в portal_inc.lua попадаются сессионые куки, опять же, надо перебирать системные файлы.
Классная статья. Все по полочкам.
Не только технические уязвимости принимаются в программе "баг баунти"
P.S. Если это реальный терминал QIWI
Был бы я на твоем месте, я бы посоветовался с знающими людьми, что делать в такой ситуации. У QIWI существует программа по поиску ошибок, на HackerOne. Ты мог отправить отчет, и получить благодарность от компании тем самым повысив свою репутацию.
Тем самым ты поднял репутацию, получил «bounty» и все остались довольны.
Статья интересная, но нужно было довести дело и не показать что сотрудник «останется без работы».
Вы можете просматривать системные файлы vpn сервиса, в некоторых файлах могут хранятся сессионые куки, пороли их главное найти. Обычно в portal_inc.lua попадаются сессионые куки, опять же, надо перебирать системные файлы.
Из личного опыта, я выделил в "своей" статье "часто" встречающиеся проблемы.
Я с тобой согласен — что проблем гораздо больше. Но я выделил эти проблемы, они более распространены.
:D)
Да, согласен с вами. Но хотелось бы больше чтобы разработчики смотрели именно на эти проблемы
Ну так почти всегда происходит) Что только не встретишь в вебе)
Эх) Уже)
Были такие опасения ) Но к счастью меня связали с разработчиком, и мы исправили уязвимости)
Ну, я хотел с юмором преподнести) А так, ты все правильно сказал. Я полностью с тобой согласен.
Отличная статья! Никого не осуждаю, но я на месте багхантеров не пытался бы искать баги в этом приложении. P.S. Если вы понимаете о чем я…
Ненада, иначе мое очко пробьют ;)
Та не норм вроде )
Лень было настраивать все через MCS ;) Решили не заморачиваться и накатить простой Amazon бакет )
Да, но видимо они еще используют API Амазона на этом домене.
Хрен его знает ))))
Ага )