重复的错误赏金报告有任何价值吗? – 错误赏金- 0x00 秒

Updated on 7月 14, 2024 in 漏洞赏金
0 on 7月 24, 2023

嘿,我有一个新手问题要问大家:我最近接受了错误赏金(即使是针对不符合付款条件的程序或资产),并发现了其他安全工程师之前发现的资产中的漏洞。例如,我在一个组织的网站上发现了一个反射型XSS 漏洞,而在另一个组织的网站上发现了另一个严重错误。但另一位研究人员打败了我

正如该主题的标题所暗示的那样,如果我发现了其他人之前发现的资产漏洞,是否会重复报告?这对于个人成长,或者为社区做出贡献,让恶意黑客的日子变得更艰难,是否有价值?

抱歉,如果这是一个愚蠢的问题。我是一个新手,渴望听到您的想法和意见!

在我看来,如果该报告确实是重复的,那么您就走在正确的轨道上……您提交了一份合法的报告,有人比您先一步。

我想我要问的下一个问题是……他们是否考虑到你“如何”得到答案。您可以提交与原始票证不同的方法。这确实需要他们审查票证和您的方法。



2 赞

在我看来,如果该报告确实是重复的,那么您就走在正确的轨道上……您提交了一份合法的报告,有人比您先一步。

是的,哈哈,至少我没有提交低质量的报告 :喜悦:

我确实用Python 编写了概念验证来证明错误的存在(例如,使用Python 的 requests 模块发出带有有效负载的HTTP 请求,然后检查返回的HTML 是否有有效负载的证据)。不知道其他人是否这样做,根据我阅读披露报告的经验,这并不常见(但这只是我的偶然经历 :眨眼: )。

 
  • Liked by
Reply