Здравствуйте,
Довольно длительное время занимаюсь безопасностью веб приложения (В основном поиск багов и уязвимостей).
Всегда старался быть от части альтруистом и даже если компании отказывались отправлять $Пасибо сообщал им о найденных багах и уязвимостях бесплатно.
Но время идет, а "жадность" растет (Когда крупные платежная система платит 1000 USD за уязвимости позволяющие просматирвать информацию о чужих транзакциях или крупный платежный агрегатор платит 100 USD за информацию о десятках багов и уязвимостей - я думаю не только у меня бы появился вопрос "А кому это собственно надо")...
Заинтересовал вопрос - а кому и где можно быстро продавать баги и уязвимости (В основном XSS уязвимости) крупных русскоязычных сайтов не имея каких либо связей?
P. S. Более менее легальные способы и места продажи. Именно конкретные "места" пожалуйста...
Я правильно понимаю , ваш труд не оценили, вы ищете тех, кто оценит, последствия этого -использования уязвимостей в ущерб каким-то людям, которые вообще не при делах? А где тут альтруизм-то....
Не совсем верно, я не хочу что бы ими воспользовались. Я хочу что бы эти биржи или люди сами искали пути предоставления информации об этих уязвимостях компаниям т. к. разговор с тех. по в большинстве случаев не приводит не к чему.
С Sharp: +- Просто грубо говоря хочется и подработать и быть в какой-то безопасности... Т. к. работая с webmoney, xsolla, interkassa и многими другими компаниями ты начинаешь осознавать то что люди не ценят свою безопасность, а объяснять им на пальцах то что например активная xss уязвимость на главной страницы это не гуд и вряд ли $Пасибо в 100$ это трезво.
IvanDanilov: писать в соц сети нужно, там пусть они отвечают, сто ценят безопасть юзеров в 100 баксов. Вконтакте вроде есть они, вам деньги, им по шапке.
Да, было бы хорошо размещать на "бирже уязвимостей", и всю переписку и т.п. переложить на их плечи. А то даже и простое спасибо многие не говорят... ((
С Sharp: я конечно понимаю, что им не хочется признавать ошибки, но все же... Можно и просто спасибо сказать! А то один доказывал, что я не прав и ошибки не влияют на безопасность )))
IvanDanilov: ну уж Яндексу вообще стыдно такое допускать... Хотя бы поблагодарили и на доску почета разместили бы... Может потом изменится ситуация, хотя бы в сторону признания
Дмитрий: ну хз... Меня вебмани год назад убили... Слил им около 15 xss уязвимостей, пару багов (1 из которых был связан с просмотром списка транзакций других пользователей)... Они мне 1К USD заплатили... И как бы не скажу что сумма маленькая, но и не скажу что за такой объем большая)))
IvanDanilov: Ваша фраза про крупные российские сайты, говорит о том что вы именно там и ищите баги. Не важно где вы живете. Именно русские сайты не хотят платить, значится меняйте целевую страну. Не обязательно Европа, есть США, есть еще куча стран.
И думаете продавая баги левым людям вы меньше себе гемора заработаете? Отнюдь.
Средний
Средний
