Глубоко поражена своей не удачей.
Пока не знаю:
* Отказываться от запуск через gitlab pipeline schedules?
* Костылить через api (у gitlab многие ограничения так обходятся - хочешь нажимать кнопку, то плати).
* Покупать Premium за 29 долларов в месяц, чтобы это ограничение стало 50 или 100 на self hosted?
* Искать race condition в gitlab?
* Переписать все на просто запуск по cron на сервачке?
Столько вопросов и так мало ответов.
Эхх не быть мне BugbountyDevSec-м.
#bugbounty
Пока не знаю:
* Отказываться от запуск через gitlab pipeline schedules?
* Костылить через api (у gitlab многие ограничения так обходятся - хочешь нажимать кнопку, то плати).
* Покупать Premium за 29 долларов в месяц, чтобы это ограничение стало 50 или 100 на self hosted?
* Искать race condition в gitlab?
* Переписать все на просто запуск по cron на сервачке?
Столько вопросов и так мало ответов.
Эхх не быть мне BugbountyDevSec-м.
#bugbounty
😢7🫡4
Пока я жду согласования расскрыть один из кейсов (решила, что есть что-то любопытное и у меня в последний момент) у вас есть возможность подать заявку.
И помните то, что может казаться скучным вам - может быть интересным и новым для других.
https://award.awillix.ru/
И помните то, что может казаться скучным вам - может быть интересным и новым для других.
https://award.awillix.ru/
❤4🤣3❤🔥2✍2🤨2😐2👏1😁1
Побыла немного багхантерской феей крестной. Поставили мне дубликаты двух багов: high и medium. Смотрю - а оригинальные репорты с такой же критичностью, но со статусом информатив и давностью 1.5 месяца. Написали, что решили не править эту багу, хотя я не представляю как можно было принять такое решение.
Я собирала данные и доказательства почему это нужно фиксить, нашла много продовских данных, дискутировала, подавала на медиацию отчетов. В итоге вчера (где-то 4 недели спустя) смотрю, а оригинальные отчеты приняли и без понижения критичности.
Может тут и не только моя помощь сыграла, но буду считать, что для этих отчетов сделала волшебный дзынь-дзынь.
Я собирала данные и доказательства почему это нужно фиксить, нашла много продовских данных, дискутировала, подавала на медиацию отчетов. В итоге вчера (где-то 4 недели спустя) смотрю, а оригинальные отчеты приняли и без понижения критичности.
Может тут и не только моя помощь сыграла, но буду считать, что для этих отчетов сделала волшебный дзынь-дзынь.
👏26❤8😁2🫡2👍1
В последнее время часто замечаю, что при n-попытке вызвать метод получается обойти проверки.
Например, метод позволяет парсить csv. По тексту ошибки определяешь что эта за библиотека и что она может работать со всеми excel форматами.
Пробуешь загрузить xlsx для тестирования XXE - получаешь ошибку "неподерживаемый формат файла". Пробуешь последовательно вызвать метод n-раз и проверка обходится.
Так как сервис тестируется блекбоксом, я могу только предполагать из-за чего возникает эта проблема. Возможно на определение типа файла реализован отдельный микросервис и в определенный момент он отдаешь ошибку. Метод загрузки файла не предусмотрел такой ответ и просто пропускает проверку.
Аналогично встречала при подтверждении email. На k-попытку проверку кода подтверждения получается обойти. Но при этом воспроизвести стабильно, чтобы собрать все данные и завести в багбаунти не получается. А пока я пытаюсь получить стабильную версию скрипта, баг обычно исправляют.
Заводите ли в бб плавающие баги?
Например, метод позволяет парсить csv. По тексту ошибки определяешь что эта за библиотека и что она может работать со всеми excel форматами.
Пробуешь загрузить xlsx для тестирования XXE - получаешь ошибку "неподерживаемый формат файла". Пробуешь последовательно вызвать метод n-раз и проверка обходится.
Так как сервис тестируется блекбоксом, я могу только предполагать из-за чего возникает эта проблема. Возможно на определение типа файла реализован отдельный микросервис и в определенный момент он отдаешь ошибку. Метод загрузки файла не предусмотрел такой ответ и просто пропускает проверку.
Аналогично встречала при подтверждении email. На k-попытку проверку кода подтверждения получается обойти. Но при этом воспроизвести стабильно, чтобы собрать все данные и завести в багбаунти не получается. А пока я пытаюсь получить стабильную версию скрипта, баг обычно исправляют.
Заводите ли в бб плавающие баги?
👍14🔥8👏2
Всем привет.
Прочитала статью https://habr.com/ru/articles/927672/ и особенно зацепилась
Тоже сталкивалась с таким в багбаунти у разных вендоров.
Варианты 1
Сдаешь уязвимость - ее исправляют, а потом приходят "нам разработчик сказал, что у нас так не работало" - держи дырку от бублика. Некоторые вендора принимают отчет и оценивают только после исправления бага и ответ о наличие и критичности уязвимости ждут от команды разработки.
Варианты 2
Все сданные баги пофиксили за 3 дня, потом через неделю пришел триаж и сказал "баг не воспроизводится" - отчет закрываем как информационный. В этот момент я ухожу лечить нервы и пить ромашковый чай.
Только настойчивость, помощь площадки в некоторых случаях и наличие пруфов (данные, скрины, операции), помогло добиться принятия этих багов. После таких случаев я стала писать видео на все, даже самые простые баги.
Могу только предположить почему так происходит:
* Любой баг сначала попадает команде разработки, а потом туда приходит ИБ
* Рассинхрон процессов ИБ и dev
* KPI на количество критичных дефектов - именно этим я обьясняю отрицание, попытку скрыть наличие дефекта и быстрый молчаливый фикс. Помню как в мою работу QA нам хотели ввести KPI на наличие дефектов на проде. Я правда уволилась раньше реализации этой инициативы и не знаю чем дело закончилось.
* Бас фактор. Может быть там уволились сотрудники и весь процесс сломался?
Можно было бы сказать, что команда не готова к бб. Но первые 3 месяца открытия бб программы - самые показательные, именно в них прилетают 90% отчетов и это время команде научится, отладить и поменять свои процессы. Такой же проблемой страдают даже старые багбаунти программы
Не буду говорить, про попытку сэкономить, так как речь про крупные вендора и иногда такие случаи происходят с багами за буквально 15к. Мне кажется тут не в этом дело.
Мой совет новичкам - обязательно собирайте все доказательства наличие уязвимости, пишите видео и детально описывайте его воспроизведение.
#bugbounty #appsec
Прочитала статью https://habr.com/ru/articles/927672/ и особенно зацепилась
И различные разработчики периодически мне пытались доказать, что найденной мной проблемы якобы нет и им-то лучше знать как работает их код.
Тоже сталкивалась с таким в багбаунти у разных вендоров.
Варианты 1
Сдаешь уязвимость - ее исправляют, а потом приходят "нам разработчик сказал, что у нас так не работало" - держи дырку от бублика. Некоторые вендора принимают отчет и оценивают только после исправления бага и ответ о наличие и критичности уязвимости ждут от команды разработки.
Варианты 2
Все сданные баги пофиксили за 3 дня, потом через неделю пришел триаж и сказал "баг не воспроизводится" - отчет закрываем как информационный. В этот момент я ухожу лечить нервы и пить ромашковый чай.
Только настойчивость, помощь площадки в некоторых случаях и наличие пруфов (данные, скрины, операции), помогло добиться принятия этих багов. После таких случаев я стала писать видео на все, даже самые простые баги.
Могу только предположить почему так происходит:
* Любой баг сначала попадает команде разработки, а потом туда приходит ИБ
* Рассинхрон процессов ИБ и dev
* KPI на количество критичных дефектов - именно этим я обьясняю отрицание, попытку скрыть наличие дефекта и быстрый молчаливый фикс. Помню как в мою работу QA нам хотели ввести KPI на наличие дефектов на проде. Я правда уволилась раньше реализации этой инициативы и не знаю чем дело закончилось.
* Бас фактор. Может быть там уволились сотрудники и весь процесс сломался?
Можно было бы сказать, что команда не готова к бб. Но первые 3 месяца открытия бб программы - самые показательные, именно в них прилетают 90% отчетов и это время команде научится, отладить и поменять свои процессы. Такой же проблемой страдают даже старые багбаунти программы
Не буду говорить, про попытку сэкономить, так как речь про крупные вендора и иногда такие случаи происходят с багами за буквально 15к. Мне кажется тут не в этом дело.
Мой совет новичкам - обязательно собирайте все доказательства наличие уязвимости, пишите видео и детально описывайте его воспроизведение.
#bugbounty #appsec
Хабр
Как я зарегистрировал CVE и разозлил вендора
Из м\ф "Головоломка", 2015, США (реж. Пит Доктер, Роналдо Дель Кармен) Статьи про багхантинг часто говорят о пользе для резюме, багбаунти, повышении безопасности продуктов, доступе на закрытые...
💯18🔥8❤1
Снова мемы багбаунти. Что-то много стало в последнее время.
Я напоминаю раз в месяц (отчет был принят после фикса и не оплачен).
Мне напоминают сделать ритест каждые 2 дня. Хотя уверена, что это автоматизация. Идея для бота, который будет отправлять 1 раз в неделю "Ну как там с деньгами?" во всем принятые, но не оплаченные отчеты.
Я уже морально в отпуске и на фесте (который кстати тоже называется ББ, совпадение? - не думаю). Поиск уязвимостей для скучных, грустных, дождливых осенних вечеров.
#bugbounty
Я напоминаю раз в месяц (отчет был принят после фикса и не оплачен).
Мне напоминают сделать ритест каждые 2 дня. Хотя уверена, что это автоматизация. Идея для бота, который будет отправлять 1 раз в неделю "Ну как там с деньгами?" во всем принятые, но не оплаченные отчеты.
Я уже морально в отпуске и на фесте (который кстати тоже называется ББ, совпадение? - не думаю). Поиск уязвимостей для скучных, грустных, дождливых осенних вечеров.
#bugbounty
🤨15❤6🦄3👍2🤔1
Что ж начинается режим студенческий, когда за короткий срок надо сделать все-все выучить к экзамену, сделать курсовую и тд и тп.
* Приняли доклад на OFFZONE - 3 недели чтобы сделать презентацию
* Участвую в Bugs Zone, т е презентацию нужно сделать за 1.5 недели, чтобы заниматься только поиском багов
* Подала 2 заявки на pentest award и надо будет решить ехать или нет, если пройду в шорт лист (или вообще какой-нибудь лист)
Одновременно будут личные дела и поездки с палаткой надо тоже как-то уместить.
Спасибо вузу, что научил фигачить в сжатые сроки, совмещая с работой.
* Приняли доклад на OFFZONE - 3 недели чтобы сделать презентацию
* Участвую в Bugs Zone, т е презентацию нужно сделать за 1.5 недели, чтобы заниматься только поиском багов
* Подала 2 заявки на pentest award и надо будет решить ехать или нет, если пройду в шорт лист (или вообще какой-нибудь лист)
Одновременно будут личные дела и поездки с палаткой надо тоже как-то уместить.
Спасибо вузу, что научил фигачить в сжатые сроки, совмещая с работой.
🔥31
Попала в шорт лист Pentest Award в номинации «**ck the logic» с вектором атаки жулик не воруй "Денежная ловушка или эксплуатация BAC биллинга"
Теперь в список дел добавилась поездка в Москву.
Теперь в список дел добавилась поездка в Москву.
Telegram
Just Security
Шорт-лист📋
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
➡️Пробив WEB
baksist
Nmikryukov…
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
➡️Пробив WEB
baksist
Nmikryukov…
🔥34❤4👍3🤩1😍1
Теория говнокода
Когда начинаешь поиск уязвимостей руками в режиме "посмотрю вечерком" в багбаунти - "что первым протестировать"?
Можно пойти не путем проверки стандартных фич и тестов, а предположить на какую фичу разработка потратили наименьшее количество времени.
Что же это за фичи:
* Фичи в режиме А/Б тестов, мвп - все что по задумке маркетологов собирается на коленке, что бы проверить реакцию пользователей и в случае успеха будет создаваться полноценно.
* Маркетинговые предложения, конкурсы, игры - все то что потребуется ограниченное число раз и не будет тестироваться.
* То где есть ограниченные сроки в режиме "мы не можем опоздать". Например, системы, которые затрагиваются новыми законами от государства - одной из таких является ЭДО, требования к которым периодически меняются.
Видишь в системе ЭДО (электронный документооборот) есть велика вероятность, что в нем будут баги.
Знакомый тимлид подсказала, что на проекты ЭДО всегда требуются люди - там большая текучка.
Когда начинаешь поиск уязвимостей руками в режиме "посмотрю вечерком" в багбаунти - "что первым протестировать"?
Можно пойти не путем проверки стандартных фич и тестов, а предположить на какую фичу разработка потратили наименьшее количество времени.
Что же это за фичи:
* Фичи в режиме А/Б тестов, мвп - все что по задумке маркетологов собирается на коленке, что бы проверить реакцию пользователей и в случае успеха будет создаваться полноценно.
* Маркетинговые предложения, конкурсы, игры - все то что потребуется ограниченное число раз и не будет тестироваться.
* То где есть ограниченные сроки в режиме "мы не можем опоздать". Например, системы, которые затрагиваются новыми законами от государства - одной из таких является ЭДО, требования к которым периодически меняются.
Видишь в системе ЭДО (электронный документооборот) есть велика вероятность, что в нем будут баги.
Знакомый тимлид подсказала, что на проекты ЭДО всегда требуются люди - там большая текучка.
❤16👍7🤔1
Награждение Pentest award закончилось. Интересно будет почитать отчеты призеров, надеюсь выложат - не все по краткому рассказу было понятно.
Больше всего понравились все призеры категории Web. XSS -> BAC -> получение кредов ssh из метаданных - это сильное сочетание.
Впечатлил @Russian_OSlNT который забрал все возможные награды в разных категориях и 3 медали за лучший отчет от разных членов жури.
Я никакого места не заняла, но одному из жури понравился мой отчет - дали медальку и bo0om сказал: "что-то слишком часто слышу ник SavAnna в последнее время - новенькие приобщается к тусовке".
Больше всего понравились все призеры категории Web. XSS -> BAC -> получение кредов ssh из метаданных - это сильное сочетание.
Впечатлил @Russian_OSlNT который забрал все возможные награды в разных категориях и 3 медали за лучший отчет от разных членов жури.
Я никакого места не заняла, но одному из жури понравился мой отчет - дали медальку и bo0om сказал: "что-то слишком часто слышу ник SavAnna в последнее время - новенькие приобщается к тусовке".
🎉22❤🔥10🔥5🍾3
Раннеры крутятся - баги мутятся. Расскажу про все свои эксперименты, костыли и что удалось получить в автоматизации багбаунти.
Узнаем способны ли сканеры находить баги в публичных багбаунти программах и как получать вознаграждения, попивая сок у себя на квартале.
В ходе исследования ни один триажер не пострадал.
https://offzone.moscow/program/gitlab-defectdojo-ai-how-i-automated-bug-hunting-in-bug-bounty/
Узнаем способны ли сканеры находить баги в публичных багбаунти программах и как получать вознаграждения, попивая сок у себя на квартале.
В ходе исследования ни один триажер не пострадал.
https://offzone.moscow/program/gitlab-defectdojo-ai-how-i-automated-bug-hunting-in-bug-bounty/
🔥29❤5👍5
Закончился первый день OFFZONE, начался второй.
Большое спасибо всем кто пришел на мой доклад "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" и всем кто пишет инструменты и дает их сообществу.
В ходе эксперементов ни один триажер не пострадал - перед заведением багов я продолжаю смотреть и докручивать их.
После доклада я набралась идей как можно улучшить разбор файндингов и AI агента.
Прикрепляю презентацию - в ней есть небольшая опечатка, но раз уж назвался subfindre - будь им.
Большое спасибо всем кто пришел на мой доклад "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" и всем кто пишет инструменты и дает их сообществу.
В ходе эксперементов ни один триажер не пострадал - перед заведением багов я продолжаю смотреть и докручивать их.
После доклада я набралась идей как можно улучшить разбор файндингов и AI агента.
Прикрепляю презентацию - в ней есть небольшая опечатка, но раз уж назвался subfindre - будь им.
🔥35❤13❤🔥1
На OFFZONE на стенде WB были настолько вкусные коктейли, что решила что-нибудь занести, чтобы попасть на их приватку. Промокод опять же надо использовать.
Меня очень просто заманить.
https://news.1rj.ru/str/wildberries_bugbounty/16 - отбор продлили до 29 августа.
Меня очень просто заманить.
https://news.1rj.ru/str/wildberries_bugbounty/16 - отбор продлили до 29 августа.
❤18🔥10😁1
Первый баг сданный в багбаунти.
Я работала AppSec-м. У нас подумывали открыть багбаунти программу (сделала презентацию, что может нам попробовать - ИБ призывно шевелил бровями) и я хотела посмотреть как процесс выглядит со стороны хакера и как вендора работают с отчетами. На платформе standoff365 я была уже зарегистрирована (на PHDays за регистрацию давали пиво). Так что мне оставалось выбрать вендоров и сдать баги. Это были Консоль и VK.
В VK я сдала в почту фигульку и мне очень подробно и хорошо обьяснили почему "try harder" - это информатив.
В Консоль я просто нашла сваггер и прошлась по всем методам. Сдала таким образом 3 бага и получила первое баунти. Хотя программа была открытой уже год.
Процесс был представлен в презентации (больше презентаций богу презентации), но баги искать в багбаунти понравилось, теперь это мое хобби.
Поделитесь у кого какая история первой уязвимости сданной в багбаунти или вообще первой найденной уязвимости?
Я работала AppSec-м. У нас подумывали открыть багбаунти программу (сделала презентацию, что может нам попробовать - ИБ призывно шевелил бровями) и я хотела посмотреть как процесс выглядит со стороны хакера и как вендора работают с отчетами. На платформе standoff365 я была уже зарегистрирована (на PHDays за регистрацию давали пиво). Так что мне оставалось выбрать вендоров и сдать баги. Это были Консоль и VK.
В VK я сдала в почту фигульку и мне очень подробно и хорошо обьяснили почему "try harder" - это информатив.
В Консоль я просто нашла сваггер и прошлась по всем методам. Сдала таким образом 3 бага и получила первое баунти. Хотя программа была открытой уже год.
Процесс был представлен в презентации (больше презентаций богу презентации), но баги искать в багбаунти понравилось, теперь это мое хобби.
Поделитесь у кого какая история первой уязвимости сданной в багбаунти или вообще первой найденной уязвимости?
❤13🔥13👍4
Всем привет.
Запись моего доклада "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" с OFFZONE.
https://vkvideo.ru/playlist/-172362100_17/video-172362100_456239233
Пока только на vk видео. Дополню как выложат на остальные.
Запись моего доклада "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" с OFFZONE.
https://vkvideo.ru/playlist/-172362100_17/video-172362100_456239233
Пока только на vk видео. Дополню как выложат на остальные.
VK Видео
Анна Куренова. GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty
Кажется, что у публичных багбаунти-программ есть DevSecOps и автоматизация не найдет новых багов? К коллайдеру — начнем эксперименты. Построим свою автоматизацию и поиграемся с AI-агентами для разбора срабатываний
❤24🔥20🤩4
Всем привет.
Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов.
Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки, чек-листы, security понедельники. Не все из этого было эффективно, многое менялось или отмирало.
Сейчас перешли к очным форматам по блокам: доклад 1 час + решение лабы поствиггера вместе. 1 блок 3-4 занятия каждые 2 недели.
Лучшее за год и то что было понятнее всего слушателям (и где остался не 1 человек) - подаю доклад и очень часто это что-то из BAC или аутентификации. Так как забавных и странных примеров из багбаунти тоже накопилось, надеюсь будет интересно и начинающим багхантерам/специалистам ИБ - доклад "Broken access control через уязвимости бизнес-логики".
https://heisenbug.ru/talks/424941c1972c49568ccc85a4e62ebbf4/?referer=%2Fschedule%2Ftable%2F
Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов.
Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки, чек-листы, security понедельники. Не все из этого было эффективно, многое менялось или отмирало.
Сейчас перешли к очным форматам по блокам: доклад 1 час + решение лабы поствиггера вместе. 1 блок 3-4 занятия каждые 2 недели.
Лучшее за год и то что было понятнее всего слушателям (и где остался не 1 человек) - подаю доклад и очень часто это что-то из BAC или аутентификации. Так как забавных и странных примеров из багбаунти тоже накопилось, надеюсь будет интересно и начинающим багхантерам/специалистам ИБ - доклад "Broken access control через уязвимости бизнес-логики".
https://heisenbug.ru/talks/424941c1972c49568ccc85a4e62ebbf4/?referer=%2Fschedule%2Ftable%2F
Heisenbug 2025 Autumn. Конференция по тестированию не только для тестировщиков
Broken access control через уязвимости бизнес-логики | Доклад на Heisenbug 2025 Autumn
Этот доклад посвящен Broken Access Control (BAC), возникающему из-за уязвимостей бизнес-логики. На примерах из багбаунти и реальных проектов рассмотрю критические проблемы: дефолтные права, интеграцию, автопродление, коллизии, отзыв прав, проблемы последовательности…
❤20👍10❤🔥6👀1
Пока что самая проблемная часть моей автоматизации - это я.
Мне надо в ручную:
* Добавить в конфиг новую программу.
* Если это мобильное приложение, то разобраться на каком домене оно работает.
* Зарегистрировать пользователя.
* Потриажить отчеты.
Недавно добавили в приватку, где я это все сделала только на второй день и пошла триажить еще через день. Авто нашло очень много валидных багов, но за это время программа ушла в архив на паузу.Ленивая мушка не хочет летать, ленивый мальчишка не хочет читать, ленивый аппсек не хочет файндинги разбирать.
Надо уже быстрее доделывать стабильный триаж через AI. Хотя тогда придется сразу бежать заводить баг (а не всегда могу сразу и опять же лень). Подумываю завести отдельный аккаунт под AI, чтобы он сам заводил баги, но пока жалею сил триажеров. Все-таки я скринкаст пишу и галлюцинации отсекаю. Хотя мне кажется эксперимент будет интересный.
При этом автоматизация рекона очень помогает, когда я в ручную сажусь искать и работает он быстрее dast-ов.
Мне надо в ручную:
* Добавить в конфиг новую программу.
* Если это мобильное приложение, то разобраться на каком домене оно работает.
* Зарегистрировать пользователя.
* Потриажить отчеты.
Недавно добавили в приватку, где я это все сделала только на второй день и пошла триажить еще через день. Авто нашло очень много валидных багов, но за это время программа ушла в архив на паузу.
Надо уже быстрее доделывать стабильный триаж через AI. Хотя тогда придется сразу бежать заводить баг (а не всегда могу сразу и опять же лень). Подумываю завести отдельный аккаунт под AI, чтобы он сам заводил баги, но пока жалею сил триажеров. Все-таки я скринкаст пишу и галлюцинации отсекаю. Хотя мне кажется эксперимент будет интересный.
При этом автоматизация рекона очень помогает, когда я в ручную сажусь искать и работает он быстрее dast-ов.
🔥22❤🔥3
Личное != профессиональному.
Как вы думаете за что могут исключить из приватной программы багбаунти? Раньше я думала, что за вопиющее поведение: регулярное нарушение скоупа, хамство, спам, публичного оскорбления. В общем не адекватного поведения. Со стороны триажера тоже скажу, что даже если хамят, то остаешься в рамках деловой этики. Оцениваешь баг, а не человека.
Сейчас исключили меня - вендор был по многим пунктам очень проблемный, но так как тестировать их просто нравилось, то багов 20 им занесла, среди которых были критичные. И несмотря на все проблемы, занижения и "нам разработчик сказал после фикса, что такого не могло быть" - тестировать сервис мне нравилось и продолжала сдавать. Но вендор как-будто вообще не собирался меняться и я начала шутить, что меня лично они не любят.
Оказалось все так и шутка была не шуткой. Standoff365 сказал, что я вендору очень сильно не нравлюсь и обиделись за этот пост https://news.1rj.ru/str/standoff_365_chat/125209 и требуют standoff365 меня исключить из программы.
Я ни разу не хамила, ни раскрывала публично кто это, проставляла хедер, сдавала валидные баги и подавала их на арбитраж и вот оказалось "очень сильно лично не нравлюсь", а вместо фикса на критику можно обидеться в стиле "начинающего художника".
Мне очень не нравится позиция некоторых вендоров в стиле страуса "зарывания головы в песок". В условиях нехватки багхантеров - курс не на комьюнити. Позиция площадки тоже не близка, но у них руки связаны коммерцией и правилами.
Как вы думаете за что могут исключить из приватной программы багбаунти? Раньше я думала, что за вопиющее поведение: регулярное нарушение скоупа, хамство, спам, публичного оскорбления. В общем не адекватного поведения. Со стороны триажера тоже скажу, что даже если хамят, то остаешься в рамках деловой этики. Оцениваешь баг, а не человека.
Сейчас исключили меня - вендор был по многим пунктам очень проблемный, но так как тестировать их просто нравилось, то багов 20 им занесла, среди которых были критичные. И несмотря на все проблемы, занижения и "нам разработчик сказал после фикса, что такого не могло быть" - тестировать сервис мне нравилось и продолжала сдавать. Но вендор как-будто вообще не собирался меняться и я начала шутить, что меня лично они не любят.
Оказалось все так и шутка была не шуткой. Standoff365 сказал, что я вендору очень сильно не нравлюсь и обиделись за этот пост https://news.1rj.ru/str/standoff_365_chat/125209 и требуют standoff365 меня исключить из программы.
Я ни разу не хамила, ни раскрывала публично кто это, проставляла хедер, сдавала валидные баги и подавала их на арбитраж и вот оказалось "очень сильно лично не нравлюсь", а вместо фикса на критику можно обидеться в стиле "начинающего художника".
Мне очень не нравится позиция некоторых вендоров в стиле страуса "зарывания головы в песок". В условиях нехватки багхантеров - курс не на комьюнити. Позиция площадки тоже не близка, но у них руки связаны коммерцией и правилами.
Telegram
Аня Куренова in Standoff 365 Chat
Некоторые бб так описаны, что как-будто сами против себя вооют.
Сидишь - гадаешь, вот это сообщение относится только к мобилкам или вообще ко всему, а не закроют ли они все баги ниже крита как дубли О_о
Какой-то исключительно негативный посыл вместо "вот…
Сидишь - гадаешь, вот это сообщение относится только к мобилкам или вообще ко всему, а не закроют ли они все баги ниже крита как дубли О_о
Какой-то исключительно негативный посыл вместо "вот…
🤯32😱7🤣3😁2🍓2👍1🔥1🤔1
Адекватность - главное в багбаунти программе.
Мне кажется, что самое главное - это не размер вилки выплат, скорость триажа, а адекватное отношение. От многих программ с низкой вилкой выплат осталось хорошее впечатление. С обоих сторон стоят люди, багхантеры тратят на исследование свое личное время и хотят честного, человеческого отношения.
В этом плане для меня VK - терапевтическая программа.
Лечит "израненную душу некоторыми багбаунти программами и долгими спорами".
Сдал уязвимость с уровнем "низкий", получил ее же. Без споров, долгих дискуссий, все понятно, адекватно и не очень долго. Единственный минус - зайти и посрывать высоко-рисковых "низко-висящих фруктов" не очень получается. Для меня - это игра в долгую, сидеть и разбираться в фичах. Выбрала 1 программу и переодически туда захожу лечить батхерты.
Так же единственная программа, которая повышала уровень, если я где-то недооценила и поставила меньше и платила больше чем рассчитывала.
Мне кажется, что самое главное - это не размер вилки выплат, скорость триажа, а адекватное отношение. От многих программ с низкой вилкой выплат осталось хорошее впечатление. С обоих сторон стоят люди, багхантеры тратят на исследование свое личное время и хотят честного, человеческого отношения.
В этом плане для меня VK - терапевтическая программа.
Лечит "израненную душу некоторыми багбаунти программами и долгими спорами".
Сдал уязвимость с уровнем "низкий", получил ее же. Без споров, долгих дискуссий, все понятно, адекватно и не очень долго. Единственный минус - зайти и посрывать высоко-рисковых "низко-висящих фруктов" не очень получается. Для меня - это игра в долгую, сидеть и разбираться в фичах. Выбрала 1 программу и переодически туда захожу лечить батхерты.
Так же единственная программа, которая повышала уровень, если я где-то недооценила и поставила меньше и платила больше чем рассчитывала.
❤29🔥5😁2👍1