Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Bugbounties / Sicherheitslücken melden - Eure Meinung

- - - - - bugbounty report xss sqli osci

  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1
Klaus

Klaus

    Hacktivist

  • Banned
  • PIPPIPPIPPIPPIP
  • Likes
    34
  • 59 Beiträge
  • 22 Bedankt
  • Android, Android [root]
  • Windows, Linux

Wie ist eure persönliche Meinung zum Thema Bugbounties?

Meldet ihr eure gefundenen Lücken? Falls ja, warum?

Wie geht ihr vor?

 

Meine Meinung:

Bugbounties sind zwar ganz nett aber warum sollte ich Seiten auf z.B. Hackerone absuchen wo schon 2000 Kiddies vor mit mit Acunetix und co waren.

Ich melde mich meistens bei der Email die im Impressum steht und lasse mich entweder zum Geschäftsführer oder in die IT Abteilung durchstellen, frage höflich nach ob die Möglichkeit auf eine Bugbounty gibt, falls nicht gibts die Lücke normalerweise auch so. Es sei denn ich werde doof angemacht. Fürn Report nehme ich gerne Netsparker, ist international gehalten und leicht verständlich. Meistens klatsche ich noch einen Paypal.me Button in die Email.

Achja, manche neigen dazu einem mit Rechtsanwalt oder Anzeige zu drohen. Warum auch immer. xD



#2
SecurityFlaw

SecurityFlaw

    ██████████

  • Members
  • PIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    213
  • 256 Beiträge
  • 112 Bedankt
  • Android, Android [root]
  • Windows, Linux

Ich melde derzeit garnichts mehr. Ist mir den Aufwandt und erstrecht meine Zeit einfach nicht mehr wert.

 

In der Vergangenheit wurde ich mehrfach via E-Mail oder auch Messenger als "Hacker-Bastard, Hurensohn, Kriminelles Opfer" oder was auch immer bezeichnet (Was nicht gerade selten vorkam).

Was ich von Chefs größerer Firmen, bzw. deren IT-Verantwortlichen, recht niveaulos finde wenn man sie schon freundlich darauf hinweist.

 

Aufgrund dieser Undankbarkeit hat sich meine Meinung diesbezüglich recht stark verändert.

Damals habe ich alles gemeldet, aber die Zeiten sind lange vorbei!

Inzwischen hinterlasse ich nur irgendetwas sichtbares auf der Website, an dem erkennbar ist das jemand auf dem Server war.

Andernfalls veröffentliche ich die Sicherheitslücken (z.B. hier im Forum) oder woanders.

 

Für Bugbounty usw. gilt das natürlich nicht. Dafür wird man schließlich auch entlohnt und mit dem richtigen Maß an Respekt behandelt!


Bearbeitet von SecurityFlaw, 16 April 2018 - 20:41 Uhr.

  • Ch!ller gefällt das

#3
Ch!ller

Ch!ller

    Shinigami

  • SubMod
  • PIPPIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    958
  • 896 Beiträge
  • 1386 Bedankt
  • Spender
  • verifiziert

Wie ist eure persönliche Meinung zum Thema Bugbounties?

Meldet ihr eure gefundenen Lücken? Falls ja, warum?

Wie geht ihr vor?

 

Meine Meinung:

Bugbounties sind zwar ganz nett aber warum sollte ich Seiten auf z.B. Hackerone absuchen wo schon 2000 Kiddies vor mit mit Acunetix und co waren.

Ich melde mich meistens bei der Email die im Impressum steht und lasse mich entweder zum Geschäftsführer oder in die IT Abteilung durchstellen, frage höflich nach ob die Möglichkeit auf eine Bugbounty gibt, falls nicht gibts die Lücke normalerweise auch so. Es sei denn ich werde doof angemacht. Fürn Report nehme ich gerne Netsparker, ist international gehalten und leicht verständlich. Meistens klatsche ich noch einen Paypal.me Button in die Email.

Achja, manche neigen dazu einem mit Rechtsanwalt oder Anzeige zu drohen. Warum auch immer. xD

Sehr Paradox, du schreibst hier von Acunetix Kiddies, benutzt dann aber selber den Netsparker..

b2t

 

Bug-Bountys sind was sehr tolles, es gibt ja nicht nur Seiten auf h1, sondern das ganze Netz ist voll.

Zum melden selber, es kommt immer darauf an wie man meldet, das ganze sollte schon Professionell passieren, gibt allerdings wie viele wissen ein paar schwarze Schafe, die einem mit Rechtlichen drohen, aber selbst dafür gibts abhilfe..


  • Klaus gefällt das
Alle Angaben und Informationen dienen lediglich der Theorie!

#4
Klaus

Klaus

    Hacktivist

  • Banned
  • PIPPIPPIPPIPPIP
  • Likes
    34
  • 59 Beiträge
  • 22 Bedankt
  • Android, Android [root]
  • Windows, Linux

Sehr Paradox, du schreibst hier von Acunetix Kiddies, benutzt dann aber selber den Netsparker..

Ja, ich nutze Netsparker für den Report. Wenn man z.B. ne Seite mit 3x XSS Dom, 1x Stored XSS und ne Blind SQLi hat empfinde ich es als angenehmer den Report von Netsparker machen zu lassen. Dann erspare ich mir nervige Rechtschreibfehler, es ist auf verständlichem Englisch gehalten (Was es ja manchen Devs auch leichter macht wenn sie auf Stackoverflow und so weiter nach Hilfe suchen) und vorallem nimmt es mir Arbeit ab. Suchen und finden erfolgt bei mir meisten per Hand und Tools wie Sqlmap,Tplmap usw. 


  • SecurityFlaw gefällt das

#5
SecurityFlaw

SecurityFlaw

    ██████████

  • Members
  • PIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    213
  • 256 Beiträge
  • 112 Bedankt
  • Android, Android [root]
  • Windows, Linux

Da muss ich Klaus zustimmen. Zum Reports erstellen eignet sich Netsparker wirklich gut.

Allerdings würde ich ihn nicht auf Ziele ansetzen wo es darauf ankommt NICHT aufzufallen.

Bei automatisierten Scans spammt man die Logs voll, was nicht gerade zur Unauffälligkeit beiträgt.

 

@Ch!ller: Wer hier was benutzt und in welchem Ausmaß sei doch jedem selbst überlassen.

Derjenige wird früher oder später merken das es mit einem Scanner allein noch lange nicht getan ist. ;)


Bearbeitet von SecurityFlaw, 17 April 2018 - 13:29 Uhr.

  • Klaus gefällt das



  Thema Forum Themenstarter Statistik Letzter Beitrag

Auch mit einem oder mehreren dieser Stichwörter versehen: bugbounty, report, xss, sqli, osci


Dieses Thema wurde von 28 Mitglied(ern) gelesen


    3eyes, Bloodman, Bot4ng, Ch!ller, cubik, Flex.Net, Framerater, herp, Island, jimador, jmPesp, JohnR, kiwitone, Klaus, Kr0nos, Makiavelic, mettbrot, Mini Rick, Mofug, PadX18, PaulaAbdul, pepeSito, romiro, s3ff, SecurityFlaw, sub0, sup3ria, Zerobyte
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.