Size: a a a

ЦАРКА PUBLIC CHAT

2021 January 27

RS

Ruslan Soluyanov in ЦАРКА PUBLIC CHAT
Спасибо
источник

M

Mr. Inquisitive in ЦАРКА PUBLIC CHAT
Тож самое мутят в РФ, после последних событий.
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
​​Госпорталы тоже плачут. Какой государственный сайт был недоступен наибольшее количество часов в 2020 году, по данным холдинга «Зерде». Полный антирейтинг по ссылке.

https://bluescreen.kz/news/antirejting-servisov-informacionnyh-sistem-gosudarstvennyh-organov/
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
По багбаунти ребят

Мы решили отказаться принимать баги типа хсс-ок не критичных по казнету. Потому что ооооочень много нам их накидали и большинство из них не критичные.

Старайтесь в основном сдавать RCE, SQLi, XXE, байпассы итд.

Очень много сдают багов, и если будем еще и хсски отрабатывать и общаться с владельцами систем, совсем запаримся =) .
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
очень тяжело по багам достучать всяким районным гос организациям. Крупные частные айти компании в принципе сразу идут на разговор и адекватно реагируют
источник

АТ

Арман Токсимбаев... in ЦАРКА PUBLIC CHAT
Nfmka
очень тяжело по багам достучать всяким районным гос организациям. Крупные частные айти компании в принципе сразу идут на разговор и адекватно реагируют
может по гос сразу в ГТС отправлять?
источник

A

Askar in ЦАРКА PUBLIC CHAT
Nfmka
очень тяжело по багам достучать всяким районным гос организациям. Крупные частные айти компании в принципе сразу идут на разговор и адекватно реагируют
Есть ли политика неразглашения личности багбаунтера?
источник

АТ

Арман Токсимбаев... in ЦАРКА PUBLIC CHAT
вон Аскар безвылазно в чате все равно сидит )
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
Арман Токсимбаев
может по гос сразу в ГТС отправлять?
мцриап получает эти баги, он уже как регулятор по ним может спускать
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
Askar
Есть ли политика неразглашения личности багбаунтера?
от нас чтобы получить деньги за уявзимость придется свои данные в кабинете вставить и данные карточки куда отправлять деньги. Владельцы систем отрабатывают напрямую с нами, а мы уже выплачиваем исследователям
источник

BA

Bauka Alimgazy in ЦАРКА PUBLIC CHAT
Там же в баг баунти кз всего 7 проектов или я ошибаюсь?
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
Bauka Alimgazy
Там же в баг баунти кз всего 7 проектов или я ошибаюсь?
там есть раздел Qaznet , по которому скидывают уязвимости по всем ресурсам казнета, мы по ним отрабатываем, но по ним не гарантируется выплата
источник

BA

Bauka Alimgazy in ЦАРКА PUBLIC CHAT
Nfmka
там есть раздел Qaznet , по которому скидывают уязвимости по всем ресурсам казнета, мы по ним отрабатываем, но по ним не гарантируется выплата
Аа, спасибо понятно
источник

A

Askar in ЦАРКА PUBLIC CHAT
Nfmka
от нас чтобы получить деньги за уявзимость придется свои данные в кабинете вставить и данные карточки куда отправлять деньги. Владельцы систем отрабатывают напрямую с нами, а мы уже выплачиваем исследователям
То есть, третьим сторонам не даете данные? Сделайте свидетельство канарейки.. 😊
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
нам уже скидывали критические уязвимости нескольких банков и крупных айти систем. По ним было все отработано и исследователи уже получили деньги
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
Askar
То есть, третьим сторонам не даете данные? Сделайте свидетельство канарейки.. 😊
сейчас вообще обсуждается вопрос багбаунти закрепить законодательно. И было бы хорошо все гос-системы подключать по багбаунти после аудитов безопасности. Это как будет перепроверка исполнителей. Потому что бывают случаи, когда за 50 миллионов делается пентест гос системы и просто натравливается аккунетикс или нессус и выдается 500 страничный бесполезный отчет. А если было бы обязательство после проведенного аудита подключать систему к ББ платформе, тогда это как раз будет что-то типа общественного контроля, который выявит халтуру и шарашкины конторы
источник

A

Askar in ЦАРКА PUBLIC CHAT
Да, я видел законопроект, но лично мне не очень нравится там формулировка, предлагал переделать. Кстати, это закон не раньше сентября будет. Так что ждать и ждать..
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
Askar
Да, я видел законопроект, но лично мне не очень нравится там формулировка, предлагал переделать. Кстати, это закон не раньше сентября будет. Так что ждать и ждать..
он уже где-то на обсуждении висит? Я его еще пока не видел сам )
источник

A

Askar in ЦАРКА PUBLIC CHAT
По госорганам ходит, уже раз 5 с осени видел =))
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
но я уже прямо кайфую от бб программы, в начале переживал что будет очень мало багов и ничего инетерсного. А у нас уже порядка 200 отчетов и прямо супер крутые вещи скидывают. Жалко только врайтапы по многим публиковать не получится. Если официально это все запустить и обязать еще исправлять баги, то казнет прямо почистится нормально так
источник