Задать вопрос

Нашел уязвимость на крупном сайте, что делать?

Нашел на одном крупном сайте уязвимость (если можно так сказать), суть такова что при регистрации нужно подтвердить номер телефона, притом пройти капчу.

Суть такова, что можно отправить на любой номер телефона код подтверждения минуя капчи.

Можно автоматизировать действие, которое будет слать всем подрядят смс с кодом подтверждения.

ТП не отвечает больше 2 недель.
  • Вопрос задан
  • 606 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 2
dintsec
@dintsec
Маркетолог, копирайтер
Либо такая техподдержка. Например как на яндексе, раз ты говоришь, что крупный сайт. Напиши им что у тебя есть PoC, можешь даже выслать им его. Либо позвони им и пусть переключат на СБ и им объясни
Ответ написан
Jump
@Jump
Системный администратор со стажем.
что делать?
Да что угодно. Хоть танцуйте.
Вы что хотите получить в итоге?
Денег? - Не факт что заплатят.
Просто помочь? - ну так вы уже сообщили, когда сочтут нужным, тогда и исправят.
Они же не обязаны исправлять. Может их и так все устраивает.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Coderast
Зря написали в ТП, сначала спросили бы. Не ясно, разрешается ли на один телефон отправлять несколько раз. Если разрешается не чаще, чем в 1 минуту, то толка от такой уязвимости нет. Если ограничений нет - можно делать услуги флуда мобилок SMS'ками, например.

Но это все чернуха. По другому денег не сдерешь, они не заплатят, если у них нет это в соглашении специальном, как у фейсбука, яндекса и гугла.

P.S. Да и обойти капчу можно с помощью специальных ресурсов, что используют нейронные сети. Так что хоть при реге в gmail шлите, толку от такого нет, если стоит ограничение на отправку подтверждений определенному телефону.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы