Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
Подробно описывает уязвимость и как ее зафиксить.
Вроде бы норм. Но у меня на сайте нигде не написано, что я выдаю вознаграждения за поиск уязвимостей. Я не гугл.
Платить не хочу. Услугу не заказывал. Посылать его тоже не хочу, вдруг начнет эксплуатировать другие уязвимости. Остается игнорить. Так этот тип пишет раз в неделю "как там с моим найденным багом, скоро ли я получу награду?".
Если вы параноик — это еще не значит, что за вами никто не следит
Здравствуйте, c3p0, Вы писали:
C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд. C>Подробно описывает уязвимость и как ее зафиксить.
У них какой-то скрипт, которым они проходят по всем сайтам и рассылают такой спам.
Iframe hijacking или как-то так.
Ещё обращались, показывали, что можно узнать, зарегистрирован ли e-mail в базе или нет (различаются ответы на логин: "пароль не верен" и "юзера нет в системе").
Больше они ничего не найдут и не проэксплуатируют.
Разгадка проста: труд пакистанцев дешев. Один хитрожадный индус запускает скрипт, и нанимает 10 пакистанцев снимать детальное видео об уязвимости, чтобы показать, что проделана большая работа. Далее массовая рассылка. Конверсия 1% уже окупает всё.
Они мне надоели писать с такой ерундой. Одному вежливо сказал, что мы стартап, денег нет, он всё равно пишет, уговаривает. Начали игнорировать — начал писать по 10 писем в день (дублирует). Добавили в спам. Пока тишина до следующего буйнопомешанного.
C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд. C>Подробно описывает уязвимость и как ее зафиксить.
Предложи ему 100 или 50
А уязвимость пофиксь
Чего негативить то
Здравствуйте, TailWind, Вы писали:
C>>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд. C>>Подробно описывает уязвимость и как ее зафиксить.
TW>Предложи ему 100 или 50
Дайте ему купон на 10% офф. Соответсвие примерно 1:1 с его затратами.
Деньгами ни в коем случае нельзя. Прецендент создает. Тут же набегут другие рыболовы.
Здравствуйте, c3p0, Вы писали:
C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
Ага мне тоже очередной Моххамед писал что у вас в DNS записи нету CAA: A Certification Authority Authorization (CAA) record is used to specify which certificate authorities (CAs) are allowed to issue certificates for a domain.
И тоже просил денег. Ну просто офигеть какая уязвимость, это пишут даже не люди, а скрипты => в игнор. Ну или исправить, а потом в игнор.
Здравствуйте, c3p0, Вы писали:
C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд. C>Подробно описывает уязвимость и как ее зафиксить.
C>Вроде бы норм. Но у меня на сайте нигде не написано, что я выдаю вознаграждения за поиск уязвимостей. Я не гугл.
C>Платить не хочу. Услугу не заказывал. Посылать его тоже не хочу, вдруг начнет эксплуатировать другие уязвимости. Остается игнорить. Так этот тип пишет раз в неделю "как там с моим найденным багом, скоро ли я получу награду?".
Мне тоже писали, что якобы нашли уязвимость. И даже типа видео сделали. Ничего они не нашли. Еще пару раз напоминали какие они хорошие и ждут денег. Спамеры.
Здравствуйте, c3p0, Вы писали:
C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд. C>Подробно описывает уязвимость и как ее зафиксить.
C>Вроде бы норм. Но у меня на сайте нигде не написано, что я выдаю вознаграждения за поиск уязвимостей. Я не гугл.
C>Платить не хочу. Услугу не заказывал. Посылать его тоже не хочу, вдруг начнет эксплуатировать другие уязвимости. Остается игнорить. Так этот тип пишет раз в неделю "как там с моим найденным багом, скоро ли я получу награду?".
Эти "хакеры" через день пишут, либо что все расскажут после оплаты, либо присылают какую то ерунду которую сами даже не проверили.
Мои сайты пару лет назад DDOS-или и с тех пор я сам всеми сканерами все проверяю и стараюсь все делать безопасно.