گفتگو: خرید و فروش باگ [بایگانی]

View Full Version : گفتگو: خرید و فروش باگ

soltoon

پنج شنبه 16 آبان 1392, 14:29 عصر

سلام

یک سوال که شاید ربط چندانی به php نداره ولی مخاطبانش بیشتر php کارن

اگه شما از یک سری سایت های ایرانی به خصوص دولتی و دانشگاهی باگ پیدا کنید و بتونید توش نفوذ کنید چی کار میکنید؟

امکانش هست بریم بهشون بگیم و قبول کنیم که باگش رو فیکس کنیم و پولشو بگیریم یا نه؟
کلا میخواستم بدونم این کار از نظر قاونی مشکل نداره؟
یعنی ما نریم اونجا بگیم باگ داریم ازتون اونوقت بدنمون دست برادرا :|

کلا اینجور موقع ها چه طور باید عمل کرد تا هم ما یه پولی دراریم هم اونا سایتشون امنیتش بالا تر بره

با تشکر از رفقای برنامه نیویس

Veteran

پنج شنبه 16 آبان 1392, 14:51 عصر

اگه شما از یک سری سایت های ایرانی به خصوص دولتی و دانشگاهی باگ پیدا کنید و بتونید توش نفوذ کنید چی کار میکنید؟مطمئنن میرم بهشون میگم ! چون نفوذ به سایت ها برای من چیزیرو ثابت نمیکنه ! به فرض که من زدم سایت رو دیفیس کردم،خب بعدش ؟ چیزه خاصی اتفاق نمیوفته

امکانش هست بریم بهشون بگیم و قبول کنیم که باگش رو فیکس کنیم و پولشو بگیریم یا نه؟بله حتما این کار رو بکنید
بنده خودم شخصا تجربه این کار رو داشتم و دارم !
ولی قبلش خیلی خوب مذاکره کنید و سره نخ بهشون ندید
اگر مثلا سایت 4 تا باگ داره 2 تارو بهشون بگین و 2تارو بزارید بعدا بگین ! اینجوری پول بیشتری میدن

کلا میخواستم بدونم این کار از نظر قاونی مشکل نداره؟البته با توجه به قوانین جرایم رایانه ایی تست نفوذ بدون اجازه فکر کنم جرم محسوب بشه
شما میتونین برین مذاکره کنین و تست نفوذ رو انجام بدید

یعنی ما نریم اونجا بگیم باگ داریم ازتون اونوقت بدنمون دست برادرا :|اگر برید صحبت کنید برای انجام تست نفوذ 2 حالت داره یا قبول میکنن که شما قرارداد میبندی و مشکل خاصی اتفاق نمیوفته یا قبول نمیکنن که دیگه هیچ ! میای خونه

کلا اینجور موقع ها چه طور باید عمل کرد تا هم ما یه پولی دراریم هم اونا سایتشون امنیتش بالا تر بره
1-باگ رو درست و حسابی بسنج ببین ایا ارزش داره که بری دنبالش یا نه(حتی ممکنه شمارو استخدام کنند !)
2-میری اونجا و صحبتی از باگ نمیکنی
3-درخواست تست نفوذ میکنین و اونها یک محیط ازمایشی در اختیار شما قرار میدن که انجام بدید
اگر قبول کردن قرارداد رسمی مینویسید و شرایط رو در اون قید میکنید(همچنین هزینه کار)
4-انجام میدید و نتیجه رو گذارش میکنید
5-هزینه رو میگیرید
====
این گفته ها بر اساس تجربه شخصی بنده هست بر اساس 3 کاره مشابه ایی که تاحالا انجام دادم.

soltoon

پنج شنبه 16 آبان 1392, 15:02 عصر

ممنون از راهنمایی های خوبت
از یه دانشگاه نه چندان بزرگ تو شهرستان یه باگ sql در اوردم که باش تونستم لاگین کنم تو کنترل پنلش و اطلاعات همه ی دانشجوهاش رو دربیارم
و در ضمن از طریق یه بخش اپلود عکس در کنترل پنل تونستم شل هم بزارم

حالا با توجه به سطح دسترسی که گرفتم چند تا سوال:
برای پیدا کردن این باگ و پچ کردنش چقدر بگیرم خوبه؟
به فرض که اون ها قبول کردن تست نفوذ انجام بدم براشون, حالا اگه تو سایت باگ های دیگه ای هم باشه و من پیدا نکنم ولی چند وقت بعد سایت توسط همون باگ ها هک بشه اونها میتونن ازم شاکی شن؟
باید حتمن حضوری برم؟ اخه دانشگاهش تو لرستانه
هیچی دیگه همین

Veteran

پنج شنبه 16 آبان 1392, 15:09 عصر

فکر کنم سیستم های دانشگاه یک سیستم جامع هست که پشتیبانی اون تهران باشه
اگر شما بخواین روی این باگ مانور بدین باید برین با پشتیبان اون سیستم صحبت کنین
مثلا دانشگاه های دولتی همه یک سیستم هستند(خوده دانشگاه اقدام به طراحی نمیکنه !)
اگر در چنین سیستم مثلا باگ پیدا بشه که پیدا شده هم ! نمیشه زیاد کاری کرد !
مثلا میخواین برین به رئیس دانشگاه بگین ؟ سایت باگ داره ؟ بهتون قول میدم هیچ یک از کارکنان دانشگاه ها نمیدونن SQL injection چی هست که بخواین برین توضیح بدین براشون و پول بگیری !
مگر با شرکتی که اون پرتال رو طراحی کرده صحبت کنین

blackhatgh

پنج شنبه 16 آبان 1392, 15:49 عصر

دوست عزیز بهتون پیشنهاد میکنم این کارو نکنید.

یا اگه میخواید انجام بدید قبلش ی جوری که شما رو نشناسند بهشون اطلاع بدید مثلا با ایمیل های فیک.

دوستانی بودن که رفنتد باگ رو گذارش کنند دیگه برنگشتند. :)

خلاصه از من به شما نصیحت زیاد دنبال این کارا بدون قراردادو اینا نرید چیزی جز دردسر نداره.

موفق باشید.

qartalonline

پنج شنبه 16 آبان 1392, 16:03 عصر

اگه طراح اون سیستم رو می شناسید بهتره با اون صحبت کنید در غیر اینصورت بی خیال شید چون در درجه اول به جرم غیر قانونی بودن این عمل (تست نفوذ و ...) مراحل قانونی رو طی می کنید.

omidabedi

پنج شنبه 16 آبان 1392, 16:34 عصر

داداش از اینا چیزی در نمیاد.
دانشگاهی که خوبی من از چندتا سایت خبری سپاه با رنک 2 3 باگ دارم هنوزم قیکس نشده کلی هم پیغام بهشون دادم (مثل شما فکر میکردم).
دستمم بسته است چون اگر میدونستم قرار هست اینجوری بی اهمیت باشن و کلا باور نکنن و این چیزا حتما میزدم سایت رو دیفیس میکردم حالشو میبردم :دییییی :شیطان:
بهشون گفتم فردا جر من هرکسه دیگه ای هم بیاد هک کنه خفت منو اول میگیرن کلا بیخیال شدم.

Veteran

پنج شنبه 16 آبان 1392, 17:42 عصر

دانشگاهی که خوبی من از چندتا سایت خبری سپاه با رنک 2 3 باگ دارم هنوزم قیکس نشده کلی هم پیغام بهشون دادم (مثل شما فکر میکردم).ببینین سایت های خبری ب فرض که باگ داشته باشه ! اتفاق خاصی نمیوفته چون اطلاعات خاصی ندارن فقط ی مشت خبره !
اما مثلا بانک رو تصور کنید
اطلاعات شخصی میلیون ها نفر رو در خودش ذخیره کرده
انتقال وجه
و ...
و یا سازمان هایی که با اطلاعات شخصی افراد سرو کار دارن
و یا مسنجر ها که الان مسنجر ایرانی هم کم نداریم
(بیلوکس و یا etaha)
اگر از این باگ ها داشته باشید مطمئنن با شما راه میان و پول خوب هم میدن

omidabedi

پنج شنبه 16 آبان 1392, 18:23 عصر

ببینین سایت های خبری ب فرض که باگ داشته باشه ! اتفاق خاصی نمیوفته چون اطلاعات خاصی ندارن فقط ی مشت خبره !
اما مثلا بانک رو تصور کنید
اطلاعات شخصی میلیون ها نفر رو در خودش ذخیره کرده
انتقال وجه
و ...
و یا سازمان هایی که با اطلاعات شخصی افراد سرو کار دارن
و یا مسنجر ها که الان مسنجر ایرانی هم کم نداریم
(بیلوکس و یا etaha)
اگر از این باگ ها داشته باشید مطمئنن با شما راه میان و پول خوب هم میدن

کلا بستگی به مدیر سایت داره
اگر مدیر سایت خودش برنامه نویس و طراح باشه و کلا از این چیزا سر در بیاره وارد مذاکره میشه مشکل ما اینه که مدیر سایت نمیفهمه در کل :)) دلشو خوش کرده با https و asp :|
به هر حال سایت که زحمت کشیده رنکش به 3 رسیده براش مهم هست اونم سپاه که یه جنبه ی دیگه داره.

Cyrus_black

جمعه 17 آبان 1392, 15:40 عصر

پیشنهاد میکنم اصلا این کار رو انجام ندین

ب عنوان تجربه قبلی بهتون میگم

حتی سایت های مهم

چند وقت پیش روی یک پرتال سازمانی باگ پیدا شد ، به محض گزارش به اصلاع رسید که پرونده داره میره دست وکیل (رفتن همانا و اذیتش و علافیش همانا)تازه این وقتی بود که فقط گزارش شده بود بدون درخواست مالی

باگ خطرناکی هم بود نسبتا،میشد خیلی روش مانور داد ، دسترسی شبکه گرفت و ...

یا برای خودتون باگ رو نگه دارید ، یا بزارید برای trade (باور کنید خطرش کمتره :دی اینجوری حداقل شما رو مستقیم نمیشناسه کسی :دی)

اگرم اشنا گردن کلفت میتنید جور کنید بدید به اون اطلاع بده

پ.ن:یه زمانی روی سایت mod باگ بود،به هرکی میگفتیم هیچ کس جرئت گزارش نداشت :)))

soltoon

یک شنبه 19 آبان 1392, 09:54 صبح

ممنون از اینکه تجربیاتتون رو باهام در میون گذاشتید. استفاده کردیم

خودم هم بیخیال قضیه شدم چون تو ایران همه چی به شانسه . یهو میریم خفتمون میکنن شر میشه
فلذا کشیدیم بیرون کلا :(

باز هم ممنون دوستان

$ M 3 H R D A D $

یک شنبه 19 آبان 1392, 10:44 صبح

حالشو بگیر کلی بهت کیف میده :تشویق:
من واسه سایت های خیلی مهم کشور کلی پول میدادم سرور میگرفتم با اون کار میکردم !
پول خواستم بهم ندادن
منم هنوز دارم قلقلکشون میدم

مهرداد سیف زاده

یک شنبه 19 آبان 1392, 13:24 عصر

باگ؟ سیستم دانشگاهی؟ پول گرفتن و این حرفا؟ سیستم دولتی و نرم افزار و کامپیوتر؟

داداش بی‌خیال که من دارم میمیر از خنده. اصلا شما یه سایت دولتی و دانشگاهی پیدا کن که باگ نداشته باشه. همه باگ دارن چون همه رو یه سری بیسواد که معلوم نیست از کجا گیرآوردن نوشتن.

نمونه: دیروز یکی از دوستان گفت میخوام مدرک بگیرم و گفتن برو سایت دانش‌آموختگان ثبت نام کن از اطلاعات پرینت بگیر و برای ما بیار. رفتم ثبت نام کردم ولی سایت نمیدونم چرا اطلاعات رو بعد از ثبت نام نشون نمیده. رفتم توی سایتش به به چیکار کردن .... یه نگاه بندازید. یه نگاه بندازید.
http://info.uast.ac.ir/fareghotahsil/
یکی از اساتید میگفت یه باگ خیلی گنده توی سیستم دانشگاه (سما) پیدا کردیم حتی با راهنمای تصحیح فرستادیم برای شرکت ولی بعد از ۱ سال هنوز برطرف نشده. بعد جالب اینجاست این نرم افزار هر ماه نسخه جدیدش میاد و در صفحه اول زیر کادر لاگین شماره نسخه رو میزنه. این یعنی هر ماه برای نسخه جدید یه پولی هم از دانشگاه‌ها میگیرن ولی عملا همون برنامه چند سال قبل هست که شاید هر ماه رنگ منوها و هدر رو عوض میکنن.
همینکه وقت گذاشتی و به معلومات خودش اضافه کردی دیگه بسه و بیشتر از این وقت گرانبها رو صرف گزارش باگ نکن. چون این سیستمها انقدر توی پنل کاربری و انجام کارها مشکل دارن که عملا مجالی برای رفع باگ نیست.

smksmk

سه شنبه 21 آبان 1392, 10:57 صبح

سلام ، من چند بار اینکارو انجام دادم یعنی رفتم گفتم به مسئولش که این باگ رو داره سایت شما توی 1 مورد که خودشون درست کردن و اصلاً سوال هم از من نکردن ، دو مورد دیگه هم کلاً کاری نکردن و من هم کاری نکردم ، یک مورد گفتن یا میگی مشکل از کجاست یا شکایت میکنیم چون منو میشناختن ، بقیه موارد هم که اوایل بود همش دیفیس کردم اونا هم هی درست کردن آخر سر هم من دیگه همچین کارهایی نمیکنم .

terminator68

سه شنبه 21 آبان 1392, 18:24 عصر

عزیز اگه میت ونی خودتو در قالب یه شرکت بزن و برو قرار پن تست ببند...
اینجوری شاید بتونی ازشون استفاده کنی....

در غیر اینصورت نگه داشته باش و لو نده....

همین الانش چندین بانک مهم ایرانی باگ دارن و حتی دسترسی روت هم ازش گرفته شد ولی کسی جرات نداره بره گزارش بده.... :))

Sir-Programmer

پنج شنبه 24 بهمن 1392, 17:48 عصر

آقا باگ سایت های مهم چی ؟؟ مثل بانک البته ایرانی نباشه مثل PayPal :دی ؟ باید چیکار کرد ؟