бухгалтеру просто впадло ебаться вот и все

Так и сделал

Вообще не всегда, в GL мне помочь предлагали

А как же ликвидация последствий кибер атак?

У @yarfuo  путь джедая и он красавчег. Можно убрать человека из иб, но иб из человек хрен с два.😎
Сейчас тенденция странная, мода м.б. но это млять в голове должно быть, в характере. Любопытство, желание понять как оно робит, и как его зафазить интересно. А в итоге многие даж гугл заюзать не могут.

И снова привет чату, вопрос первой важности, хакеру легче взломать смартфон с гугл акком или без гугл акка, или нет разницы? (взломать смартфон, аккаунты приложений и т.д и т.п) Интересует ваше мнение, уважаемых ибшников и хакеров

Гугл акк-- дополнительный вектор атаки.

Значит без акка минус один вектор?

На bug bounty ведь очень хорошо платят, а вкатиться в эту тему тяжело

Но ведь такое еще откопать надо

А разве большинство не пишет в условиях, что сканеры запрещены?

Правилами участия в программе бб

Я как бы не утверждаю, что идея и схема рабочие. Например, видно по рейту запросов и пейлоадам к одному эндпоинту, что сканят и после успешного срабатывания часов через 1-8 приходит репорт именно с таким пейлоадом именно по данной проблеме.

+ если, например, хантил через h1 и в условиях хантинга было использование специальной бб почты, которую h1 выдаёт - ещё сложнее через сканеры будет сдать вулну. Особенно, если ты хантил баги в authorized логике, то есть, будучи залогиненым и оставляя следы работы в аккаунте, который для хантинга через почту h1 зареган специально.

Баунти также не должно быть источником умирающего от неаккуратного использования эксплойта прода

И на сканеры не может быть похер, звучит нелогично. Зачем мне платить за уязвимость, которая найдена сканером - я сам могу просканить и найти такое - это раз. Чтобы не грузить того, кто будет заниматься триажем, дебильными сабмитамм по результатам сканирования именно сканером, мне вполне резонно включить в условия это ограничение - это два.

Если для поиска уязвимости нужно разрешение компании, то это не компания недостойна и не я странный человек. Это называется разбираться в предметной области поиска уязвимостей - ищется она фаззингом или ручным перебором каких-то параметров, делаешь ты это для проверки обработки данных или реверсишь какую-то логику - ты работаешь за пределами базового функционала, который для рядового пользователя прописывался программистами. Это несёт определенные риски нарушить работу приложения в проде - для этого существует понятие скоупа бб и разрешенных/запрещенных действий в процессе бб. Вот если баунти-хантер не понимает этого - он действительно странный человек, а компания, напротив, зрело подходит к построению процесса баунти.
(Я не учитываю какие-то исключения в виде прям неадекватных ограничений на баунти)

Вопрос терминов

👋

Что тогда путь ситха?)