Сообщение от
censored!
1. http://82.146.43.254/index.php?action=207
Вводим кривой мыл.
2. Судя по нереальным ценам за найденую уязвимость (50 уе за XSS (пассивную) - это очень много). Не получиться ли так - что будет сообщено что такая уязвимость была оплачена ранее?
3. Ну, если, оплата после устранения уязвимости, и уязвимость была найдена - то выходит что она не была устранена и, соответствено, не была найдена ранее и оплачена?
4. И как узнать - будет оплачена или нет? И как сообщить куда переводить?
5. Так что вопросов очень много. Или это так - типа кидок такой?
Тогда зря. Можно было:
(а) - попросить все сделать бесплатно.
(б) (если не кидалово) - заказать проверку сайта оффициально Античату (связь через Algola, Егорыча, ЧеГевару).
6. Если не копалось глубоко и сходу находятся XSS - в большинстве случаев - сырец и всплывет еще что-нить серъезное.
1. Понятно, это модуль сайта, там независимый многоязыковой интерфейс. Нашёл эту фразу.
2. Я прислушался к вашему мнению и дополнил описание правил поиска уязвимостей. Пассивная XSS теперь стоит 25$. -) Но InferNo23 получит 50 как и оговаривалось.
3. Всё просто, одна ошибка в алгоритме обработки данных может проявляться несколькими способами. Я устраняю ошибки в последовательности создания тем в форуме SECURITY BUGS. Если я устраню причину раньше, чем дойду до темы с другим проявлением этой ошибки, оплачена будет лишь первая тема (наиболее старая по дате создания).
4. Надо создать описание уязвимости в форуме SECURITY BUGS, в соответствии с условиями поиска уязвимостей. Созданная вами тема будет доступна только мне до момента устранения уязвимости. Когда я устраню уязвимость, я открою тему для всеобщего доступа и напишу своё решение, причину уязвимости и дальнейшие инструкции.
5. Мне нужен максимально широкий security audit максимальным количеством грамотных спецов. Это полнее, надёжнее, быстрее и качественнее чем другие известные мне варианты. Бесплатно я сам не работаю и не имею привычки просить это делать других.
6. А для чего по вашему я создал эту тему? Ваш форум был первым, где я разместил своё предложение и у вас наиболее предпочтительные шансы собрать большую часть бюджета тестирования.
Я сам далеко не ламер, но найти баги в своём проекте который имеет куски кода 4 летней давности не реально. Глаз привыкает к тому, что есть и просто не замечает.