LINUX.ORG.RU

История изменений

Исправление LINUX-ORG-RU, (текущая версия) :

Я в последнее время увлекся поиском уязвимостей за вознаграждение.

Что-то нашёл? Чем-то вознаградили? Я на паре мест был, там у всех описания вроде «вознаграждаем только за то если вы оставите дикпик в root каталоге сервера для подписи сертификатов»

Так вот ее легко настраивать для поиска дампов, бекапов, конфигов, которые по чье-то невнимательности оказались в публичном доступе (полностью по вине админов и прочих жопоруков).

Иногда буквально написано, цитирую

Что присылать не нужно:
* Отчеты сканеров уязвимостей и других автоматизированных средств;
* Разглашение публичной информации о пользователях;

Хотя про сканеры там пишут мол просто отчёты от них не принимают, написано порой так что и за просто их использование могут послать погулять, опять же если сканер какой или иной инструмент, то если долбишь по 10 раз в секунду и более тоже могут послать, так как как при твоём отчёте они поднимут логи и будут спрашивать, а это вот ты долбился? И если это ты ты обязан сказать, да это был я. И ещё, если ты что-то нашёл, трогать это можно только на пол шишечки. Нашёл дырку для входа, сначала пиши репорт в котором спроси разрешения залезать дальше вплоть до рута, а если его получишь максимум что сделай то это sleep 3600 & и выходи и сразу пиши отчёт. За то что ты куда то там в каталог зайдёшь могут вознаградить не денюжкой, а повесткой в суд.

Как минимум если что найдёшь то не говори что нашёл это сканером, даже самописным, может там и правда будет чувствительная информация и они сделают «Оййййй божечки мои как мы это допустили!», но завернут тебя в пакетик со словами «Спасибо, пофиксим, но это не входит в оплачиваемый перечень, бывай лох!» и ты даже побубнить не сможешь по этому поводу, если что тебя просто посадят за любые возражения, буквально и в тюрьму так как ты не имеешь права разглашать то что нашёл в любой форме. Чисто формальностью задавят и лесом гулять пошлют. Нашёл и нашёл, а как это не их дело, их дело исправить, а твоё им сообщить (хотя как ты нашёл тоже обязательно надо сообщать, но найти вручную или через подручные средства это без разницы).

Вопщем дырки искать и сообщать о них источнику дырок это хорошо, благо и добро. Но будь аккуратнее.

Исправление LINUX-ORG-RU, :

Я в последнее время увлекся поиском уязвимостей за вознаграждение.

Что-то нашёл? Чем-то вознаградили? Я на паре мест был, там у всех описания вроде «вознаграждаем только за то если вы оставите дикпик в root каталоге сервера для подписи сертификатов»

Так вот ее легко настраивать для поиска дампов, бекапов, конфигов, которые по чье-то невнимательности оказались в публичном доступе (полностью по вине админов и прочих жопоруков).

Иногда буквально написано, цитирую

Что присылать не нужно:
* Отчеты сканеров уязвимостей и других автоматизированных средств;
* Разглашение публичной информации о пользователях;

Хотя про сканеры там пишут мол просто отчёты от них не принимают, написано порой так что и за просто их использование могут послать погулять, опять же если сканер какой или иной инструмент, то если долбишь по 10 раз в секунду и более тоже могут послать, так как как при твоём отчёте они поднимут логи и будут спрашивать, а это вот ты долбился? И если это ты ты обязан сказать, да это был я.

Как минимум если что найдёшь то не говори что нашёл это сканером, даже самописным, может там и правда будет чувствительная информация и они сделают «Оййййй божечки мои как мы это допустили!», но завернут тебя в пакетик со словами «Спасибо, пофиксим, но это не входит в оплачиваемый перечень, бывай лох!» и ты даже побубнить не сможешь по этому поводу, если что тебя просто посадят за любые возражения, буквально и в тюрьму так как ты не имеешь права разглашать то что нашёл в любой форме. Чисто формальностью задавят и лесом гулять пошлют. Нашёл и нашёл, а как это не их дело, их дело исправить, а твоё им сообщить (хотя как ты нашёл тоже обязательно надо сообщать, но найти вручную или через подручные средства это без разницы).

Вопщем дырки искать и сообщать о них источнику дырок это хорошо, благо и добро. Но будь аккуратнее.

Исправление LINUX-ORG-RU, :

Я в последнее время увлекся поиском уязвимостей за вознаграждение.

Что-то нашёл? Чем-то вознаградили? Я на паре мест был, там у всех описания вроде «вознаграждаем только за то если вы оставите дикпик в root каталоге сервера для подписи сертификатов»

Так вот ее легко настраивать для поиска дампов, бекапов, конфигов, которые по чье-то невнимательности оказались в публичном доступе (полностью по вине админов и прочих жопоруков).

Иногда буквально написано, цитирую

Что присылать не нужно:
* Отчеты сканеров уязвимостей и других автоматизированных средств;
* Разглашение публичной информации о пользователях;

Как минимум если что найдёшь то не говори что нашёл это сканером, даже самописным, может там и правда будет чувствительная информация и они сделают «Оййййй божечки мои как мы это допустили!», но завернут тебя в пакетик со словами «Спасибо, пофиксим, но это не входит в оплачиваемый перечень, бывай лох!» и ты даже побубнить не сможешь по этому поводу, если что тебя просто посадят за любые возражения, буквально и в тюрьму так как ты не имеешь права разглашать то что нашёл в любой форме. Чисто формальностью задавят и лесом гулять пошлют. Нашёл и нашёл, а как это не их дело, их дело исправить, а твоё им сообщить (хотя как ты нашёл тоже обязательно надо сообщать, но найти вручную или через подручные средства это без разницы).

Вопщем дырки искать и сообщать о них источнику дырок это хорошо, благо и добро. Но будь аккуратнее.

Исправление LINUX-ORG-RU, :

Я в последнее время увлекся поиском уязвимостей за вознаграждение.

Что-то нашёл? Чем-то вознаградили? Я на паре мест был, там у всех описания вроде «вознаграждаем только за то если вы оставите дикпик в root каталоге сервера для подписи сертификатов»

Так вот ее легко настраивать для поиска дампов, бекапов, конфигов, которые по чье-то невнимательности оказались в публичном доступе (полностью по вине админов и прочих жопоруков).

Иногда буквально написано, цитирую

Что присылать не нужно:
* Отчеты сканеров уязвимостей и других автоматизированных средств;
* Разглашение публичной информации о пользователях;

Как минимум если что найдёшь то не говори что нашёл это сканером, даже самописным, может там и правда будет чувствительная информация и они сделают «Оййййй божечки мои как мы это допустили!», но завернут тебя в пакетик со словами «Спасибо, пофиксим, но это не входит в оплачиваемый перечень, бывай лох!» и ты даже побубнить не сможешь по этому поводу, если что тебя просто посадят за любые возражения, буквально и в тюрьму так как ты не имеешь права разглашать то что нашёл в любой форме. Чисто формальностью задавят и лесом гулять пошлют. Нашёл и нашёл, а как это не их дело, их дело исправить, а твоё им сообщить (хотя как ты нашёл тоже обязательно надо сообщать, но найти вручную или через подручные средства это без разницы).

Исправление LINUX-ORG-RU, :

Я в последнее время увлекся поиском уязвимостей за вознаграждение.

Что-то нашёл? Чем-то вознаградили? Я на паре мест был, там у всех описания вроде «вознаграждаем только за то если вы оставите дикпик в root каталоге сервера для подписи сертификатов»

Так вот ее легко настраивать для поиска дампов, бекапов, конфигов, которые по чье-то невнимательности оказались в публичном доступе (полностью по вине админов и прочих жопоруков).

Иногда буквально написано, цитирую

Что присылать не нужно:
* Отчеты сканеров уязвимостей и других автоматизированных средств;
* Разглашение публичной информации о пользователях;

Как минимум если что найдёшь то не говори что нашёл это сканером, даже самописным, может там и правда будет чувствительная информация и они сделают «Оййййй божечки мои как мы это допустили!», но завернут тебя в пакетик со словами «Спасибо, пофиксим, но это не входит в оплачиваемый перечень, бывай лох!» и ты даже побубнить не сможешь по этому поводу, если что тебя просто посадят за любые возражения, буквально и в тюрьму. Чисто формальностью задавят и лесом гулять пошлют. Нашёл и нашёл, а как это не их дело, их дело исправить, а твоё им сообщить (хотя как ты нашёл тоже обязательно надо сообщать, но найти вручную или через подручные средства это без разницы).

Исходная версия LINUX-ORG-RU, :

Я в последнее время увлекся поиском уязвимостей за вознаграждение.

Что-то нашёл? Чем-то вознаградили? Я на паре мест был, там у всех описания вроде «вознаграждаем только за то если вы оставите дикпик в root каталоге сервера для подписи сертификатов»

Так вот ее легко настраивать для поиска дампов, бекапов, конфигов, которые по чье-то невнимательности оказались в публичном доступе (полностью по вине админов и прочих жопоруков).

Иногда буквально написано, цитирую

Что присылать не нужно:
* Отчеты сканеров уязвимостей и других автоматизированных средств;
* Разглашение публичной информации о пользователях;

Как минимум если что найдёшь то не говори что нашёл это сканером, даже самописным, может там и правда будет чувствительная информация и они сделают «Оййййй божечки мои как мы это допустили!», но завернут тебя в пакетик со словами «Спасибо, пофиксим, но это не входит в оплачиваемый перечень, бывай лох!». Чисто формальностью задавят и лесом гулять пошлют. Нашёл и нашёл, а как это не их дело, их дело исправить, а твоё им сообщить (хотя как ты нашёл тоже обязательно надо сообщать, но найти вручную или через подручные средства это без разницы).