嘿,我有一个新手问题要问大家:我最近接受了错误赏金(即使是针对不符合付款条件的程序或资产),并发现了其他安全工程师之前发现的资产中的漏洞。例如,我在一个组织的网站上发现了一个反射型XSS 漏洞,而在另一个组织的网站上发现了另一个严重错误。但另一位研究人员打败了我
正如该主题的标题所暗示的那样,如果我发现了其他人之前发现的资产漏洞,是否会重复报告?这对于个人成长,或者为社区做出贡献,让恶意黑客的日子变得更艰难,是否有价值?
抱歉,如果这是一个愚蠢的问题。我是一个新手,渴望听到您的想法和意见!
嘿,我有一个新手问题要问大家:我最近接受了错误赏金(即使是针对不符合付款条件的程序或资产),并发现了其他安全工程师之前发现的资产中的漏洞。例如,我在一个组织的网站上发现了一个反射型XSS 漏洞,而在另一个组织的网站上发现了另一个严重错误。但另一位研究人员打败了我
正如该主题的标题所暗示的那样,如果我发现了其他人之前发现的资产漏洞,是否会重复报告?这对于个人成长,或者为社区做出贡献,让恶意黑客的日子变得更艰难,是否有价值?
抱歉,如果这是一个愚蠢的问题。我是一个新手,渴望听到您的想法和意见!
在我看来,如果该报告确实是重复的,那么您就走在正确的轨道上……您提交了一份合法的报告,有人比您先一步。
我想我要问的下一个问题是……他们是否考虑到你“如何”得到答案。您可以提交与原始票证不同的方法。这确实需要他们审查票证和您的方法。
2 赞
在我看来,如果该报告确实是重复的,那么您就走在正确的轨道上……您提交了一份合法的报告,有人比您先一步。
是的,哈哈,至少我没有提交低质量的报告
我确实用Python 编写了概念验证来证明错误的存在(例如,使用Python 的 requests
模块发出带有有效负载的HTTP 请求,然后检查返回的HTML 是否有有效负载的证据)。不知道其他人是否这样做,根据我阅读披露报告的经验,这并不常见(但这只是我的偶然经历 )。