SQL Inj Vk.Com

[Po6oKon 177]

Седня лазил по ВК, в поисках приключений на свою попу, открыл хавиджи, начал чекать, смотрите результаты по вк =)

 

Написал в тех.поддержку, мол за вознаграждение открою дыру, как думаете, стоит опасаться что ко мне придут дяди домой за взлом ВК?

[Юра 95]

Ты для начала эти базы слижи, а потом говори о "вознаграждении"

[(D)uality 700]

С вероятностью в 90% тебе скажут почему ты не прав и могут просто забанить. Плюс ко всему раскрытие багов за деньги могут расценивать как вымогательство и шантаж.

[Po6oKon 177]

Я думаю найдутся люди которые с руками и ногами заберут эту дыру и будут использовать в своих целях =)

(D)uality , прав, могут забанить, но они же не дураки, должны понимать что эта уязвимость может попасть не в те руки, да и вымогательство тоже верно, сейчас уже не Дуров руководит, а мэйл ру )

[Po6oKon 177]

Пока сливаю колонки, посмотрим что будет дальше

[Нодэ 17]

Я думаю найдутся люди которые с руками и ногами заберут эту дыру и будут использовать в своих целях =)

(D)uality , прав, могут забанить, но они же не дураки, должны понимать что эта уязвимость может попасть не в те руки, да и вымогательство тоже верно, сейчас уже не Дуров руководит, а мэйл ру )

Лучше юзать фейсбук.

[Desquire 451]

То, что раньше ( при дурове ) выплачивали деньги за баги это факт.

Мой бывший одноклассник нашел случайно баг ( можно было добавлять кого угодно кому угодно в чс).

И ему выплатили около 150 баксов ( на счет в банке требоавали. мы мучались очень долго ибо ему не было 18 тогда)

Как сейчас хз.

 

На счет нынешних выплат за баги хз. Ты для начала посмотри бд, что там. 

[Own 110]

Тут 2 варианта:

1.Пакуй вещи и будешь смотреть небо к клеточку.

2. Если все грамотно оформишь тебя ждет вознаграждение.

Смотря как ты поднесешь инфу.

[Po6oKon 177]

Интересно Сейчас до сих пор хавиджи ищет колонки, с того времени как я оформил этот пост. Долговато конечно =)

[Twinker 487]

Мэйл.ру давно практикует Bug Bounty (https://hackerone.com/mailru)

Ни о каких "клеточках" и речи быть не может. Вы и данные-то достать не сможете, это и не баг. Возможно просто забыли прикрыть внешний доступ или что-то в этом роде, всё равно данные зашифрованы.

[Po6oKon 177]

Мэйл.ру давно практикует Bug Bounty (https://hackerone.com/mailru)

Ни о каких "клеточках" и речи быть не может. Вы и данные-то достать не сможете, это и не баг. Возможно просто забыли прикрыть внешний доступ или что-то в этом роде, всё равно данные зашифрованы.

Я думаю havij Не с проста выдал БД, у меня уже разок havij обнаруживал магическую кавычку среди старых скриптов Вконтакте, но БД так и не удалось заполучить, сегодня у меня это получилось. Возможно у меня не получилось заполучить данные через havij - т.к. это устаревшая тулза, но многие пользуются для слива. Сейчас актуально SQL MAP и SQLi Dumper, мапом я не пользуюсь, а дамер просто не весь урл проверяет.

Я уверен если бы эта дырка попала не в те руки, ею можно было бы воспользоваться.

[rooti 764]

Вангую небо в клеточку

[Po6oKon 177]

Вангую небо в клеточку

Я уже в тех.поддержку написал и на hackerone, который твинкер давал, только не мэйл ру, а вк, так что можно не боятся, еще 3-4 дня и я на море уже буду загорать