продажа уязвимостей админам

У админов как правило денег нет.
Есть только у начальства контор, сайты которые обслуживает админ.
Админ не захочет сказать начальнику, что сайт дырявый - иначе ему самому вкатят за то что тот плохо работает.
Отдать бесплатно - самый лучший вариант.
Может отблагодарят

 

отдавайте баги на Email владельцам доменов или по контактам начальства на сайте, шанс попасть в масло намного выше

еще можно дать намек на место но не показать всю скулю
если с мозгами дружат сами предложат что-то в обмен за качественное решение =)
но отдать раскрученную скулю, LFI, XSS это необдуманная глупость и не тру

 

А ты наивно полагаешь, что начальники и владельцы поймут что ты им написал? Спросят админа, он разозлится, что его перешагнули... И вот тебе статья)

 

чтобы попасть под статью нужно что-то попросить в замен или вывести инфу используя багу

 

я так и сделал. сейчас "Администрация решает о размере вознаграждаения"

 

Кросовки проси оригинальные.

 

не, в этот раз не шоп, а партнерка

 

Тогда диски с лицензионным порно))

 

я уязвимость советовал отдать бесплатно, а вот за помощь залатать ее просить деньги.

 

вообще не сталкивался, но, говорят, иногда и такой способ помогает, по крайне мере, ленивый админ либо лишится работы, либо тебя возьмут ему в помощники в качестве консультанта по ИБ

 

Админ, даже ленивый, может сделать тебе подлянку, натянуть прокси и дефнуть сайт, а потом сказать, мол меня тот чел взломал и надругался над сайтом, менты уж точно ему охотней поверят, чем хакеру...

 

подлянку он скорее себе сделает, ибо за дефейс можно лихо лишится в лучшем случае премии, вообще самый верный способ искать связи именно с начальством, от одминов не то что спасибо, на три буквы шлют через раз, но и с начальством нужно быть на стреме, ибо запросто могут сказать "окей мы выплатим вам вознаграждение мой друг, давай свои реквизиты" а затем всю эту инфу полицаям отнесут

 

Ну ну.

 

Было дело, обнаружил полный дамп БД одного крупного forex**.ru сайта, отправил админам/саппортам/директору фикс, взамен они предложили 30 баксов в счет положить
скачка 15гига дампа больше бабла за трафф стоит )
P.S Админ крупного новостного сайта (после того как я ему просто так скинул багу и фикс) даже угрожал что найдет меня и даст ***лей )
P.S вот после таких случаев и пополняется приваты )

 

Есть небольшой опыт.

1) Файловая партнерка.
Там была обнаружна активка, позволяющая выполнить js в браузере любого адверта. Почти любого. Отписал тикет, намекнул, чтоы Ббыло бы неплохо получить деньги - сделали выплату 100 вмз.

2) ЦЦ шоп.
Был найден баг, позволяющий накрутить баланс. Не хотелось быть крысой, стукнул админу, получил 60лр. Цену сам указал. Шоп только открылся, щас очень популярен в кардинг-андерграунде...

3) Легал сайт - газета, конкурс, спалил админам баг - накрутка голосования. получил 1500

Везде намекал что не плохо бы получить деньги, палил баг сразу. Во втором случае договорился с админом на точную сумму.

 

Щас логи прошуршат и паяльник в жопу тебе обеспечен.

Я вот лично сам никогда не отправлял раскрученные баги админам и ничего не просил.Какой-то игровой сайт был, дак мне предложили поучаствовать в бета-версии и кучу ключей для стима кинули.Так что нехер ничего просить, как писали тут - это вымогательство и шантаж.Головой надо думать.Админы или представители кампании с Вами свяжутся сами, если вы адекватно общались с представителем техподдержки, а если вы жадные до денег (мудаки иными словами), то пусть это Вам будет уроком.

 

Они не обязаны тебе ничем вообще-то, мой золотой А ты уже под статью попадаешь + если уже взлом был, когда ты вывел логин/пароль админа и админку нашел, то это уже 2 статьи.

 

Угу, конечно. Для начала #define адекватное обращение с техподдержкой. Я как-то пару раз отписывался админам, с подробным объяснением, чем опасен этот или иной GET(POST)-запрос, почему нужно прятать админку поглубже и не держать в корне сайта всякие phpinfo и changelog'и, вплоть до приведения ссылок из Википедии. В некоторых случаях банально выпадают в осадок, и перестают на тебя реагировать, в других сразу начинают грозить всевозможными карами.

Вы, наверное, в стране эльфов живёте, просто, и не учитываете менталитет этих рабов-админов, которые работают за 15-30 тыс в месяц, 5 дней в неделю, чтобы оплатить свой кредитный форд фокус, а весь круг интересов сводится к "сходить в El'Patio с той симпатичной новеньклй бухгалтершой из отдела продаж". Большинством из них, подобные заявления по icq или почте, воспринимается как явная угроза их финансовой обеспеченности в первую очередь("Как же так у миня дырка на сайте шеф узнает все пропало лишат премии не выплачу кредит!!1" - примерно такой поток мыслей проносится в голове среднестатистического "одмина".)

P.S. После этого предпочитаю вообще не иметь никаких контактов с техподдержкой, если говорить о ru, ведь скорее всего тебе опять попадется хомяк-админ, который вместо работы сидит на каком-нибудь хабрахабре и мнит себя "богом сетей".

 

C русскими дела не имел, точнее было дело с активными xss на спрашивай ру, дак они мне тупо не поверили и я забил, а вот англоязычные компании охотно принимают именно помощь, подчеркну.