XSS propust - kako reagovati

Pozdrav svima,

Imam jedno pitanje, kako bi vi postupili da pronađete XSS propust kod nekoga na sajtu?

Lp i hvala

Poslao bih mail web adminu.

P.S. ne znam pronaći XSS propust

Da se nadovežem priči, ako taj neko zarađuje ogromne pare preko te stranice, a ti sa tim XSS propustom možeš da mu uništiš poslovanje (ne u totalu, ali ga možeš usporiti/uništavati sporo, kako god hoćete, jer je xss na kritičnom nivou)

Boli te kiki koliko on zarađuje. Može zarađivati milijune nečega. Ne vidim zašto bi bio problem upozoriti ga na propust?

Pa ne mislim ga je*avat, nego da li tražiti zauzvrat ili onako ko dobro djelo uradit, jer inače ja volim živit od dobrih dijela…

Zavisi…

Ako znaš i popraviti pomenuti propust jednostavno se javi i ponudi uslugu popravljanja propusta gdje mozes naplatiti i detektovanje propusta.

Ako ne znaš popraviti obrati pažnju da ne uđeš u sferu ucjenjivanja, ukoliko ćeš tražiti novac.

P. S. Nisam u toj niši, nisam advokat, samo iznosim mišljenje :slight_smile:

Eh pa to me interesuje, da nebi završilo ko ucijena… Pomalo mi glupo reć da bi im popravio za pare, jer znam da imaju 7 i više programera, tako da ne sumnjam da im je problem popravit, nego više ne znaju gdje je propust…
A za riješenje svakako znam riješiti…

Hvala puno na takvom odgovoru

1 Like

Baci oko na ovaj youtube kanal:
https://m.youtube.com/c/cysecor/videos
Možeš mu i poslati mail, vjerujem da će odgovoriti

Ako vladaš engleskim pogledaj i ovaj kanal:
https://m.youtube.com/c/NetworkChuck

1 Like

Kako zvuči da im se jednostavno javiš porukom i kažeš da imaju propust koji je od velikog značaja? Da si voljan pomoći za određenu kompenzaciju? Džaba njima programeri ako ne vide taj propust?

1 Like

Upravo sam to uradio, pomogao si mi puno sa tom rečenicom… Nisam mogao nadoć kako da se fino izrazim… Hvala puno

1 Like

Stvarno ne mogu vjerovati da nekome može biti svejedno što ima xss propust, koji spremi u svoju bazu… Zbunjuju me ljudi…

Podijeli ga onda javno :smiley:

@Zdenga Pa da nije u pitanju pik / olx rado bi… Ali čini mi se da je njima svejedno…

sta su odgovorili kada si im skrenuo paznju na propust?

Pa ne bih bas rekao da je svejedno. Propust koji sam ja prijavio je ekspresno zakrpljen, jer rade s podacima korisnika i o tome moraju voditi racuna. Ja sam prijavio kroz https://security.olx.com/

lol, nemoj me zezati :slight_smile: Ozbiljan propust se prijavljuje prema proceduri, a ne putem mobilnog broja. “Kolega” trebao bi znati kako se propust prijavljuje, dokumentuje, a na kraju krajeva, ako nema odgovora, uz unaprijed javljanje na više adresa kompanije, objavljuje javno, kako bi se preventivno djelovalo i “natjeralo” ispravljanje propusta.

Naravno, ako je kritično :slight_smile:

PS: jesi li siguran da mozes raditi nešto samo sa svojim računom, gdje je aktivna sesija, ili s bilo kojim računom? Otvoren sam da mi pošalješ link i uradis sta god zelis s racunom. Platim ti ja ako nece olx :smiley:

Nebi ovako razmišljao u biznisu… nego bi razmišljao “oko za oko, zub za zub”

Drugim riječima, razmjena vrijednosti mora biti od istog značaja za obje strane koje posluju.

A koliko drugoj strani vrijedi tipa 1000 eur, zavisi od apsolutnog iznosa koji posjeduje.

Iz čega proizlazi da nije isto poslovati sa nekim tko ima i tko nema puno love.
Drugim riječima, ako imamo vrijednost koju netko treba, treba znati procjeniti koliko njemu ta vrijednost vrijedi u iznosima kojima on raspolaže i prema tome treba znati dobro prodati svoj rad.

1 Like

Iz početnog stava “hoću li im pomoći” došli smo do toga “koliko im naplatiti”.

Tužno

Koliko ja vidim, autor pita kako najbolje unovčiti svoje znanje u konkretnoj situaciji.

A unovčiti znanje je sasvim legit, štoviše mnogi idu na fakseve upravo iz tog razloga… da bi svoje znanje razmjenjivali za neku protuvrijednost, a ne ga dijelili okolo za džabe.

1 Like

OK. U pravu si.
20 znakića…