Сейчас развелось очень много программ по поощрению поиска уязвимостей за которые выплачиваются компенсации. Но для получения профита не обязательно находить уязвимость и не обязательно профит будет деньгами. Например, как то я отписал в Beeline, что неплохо было бы позволять использовать платежные гейты банков при нулевом балансе, а то выходила странная фигня, вроде можешь пользоваться сайтом билайна, начинаешь оплату картой и встаешь на этапе выбора способа верификации оплаты. Через какое-то время предложенную фичу ввели, я получил возможность поплнять свой счет в любом месте с GPRS. А кто то в билайне может получил премия за увеличение количества платежей %))
Это был пример нормального отношения. А бывают ребята, которым пишешь о уязвимостях на их ресурсах, а в ответ -- тишина. Возможно дело в том, что письмо приходит к низкоквалифицированным разгребателям почты и оно уходит с пометкой "какая-то фигня". Наверное надо в таких случаях стоит писать не только в info@company.com, а еще и в cto@company.com, и может будет результат =) И высшим наслаждением в таких случаях было бы исправление уязвимости, а не 300 звездочек, новый уровень в Candy Rush или 100$ на счет.
Есть такая штука -- Google summer of code. Проект от гугл в рамках, которого студенты пишут функционал опен-сурс проектов под надзором менторов за деньги(5000$ за 3 месяца).
Проекты попадаются очень интересные. Правда я за свою студенческую жизнь ни разу не прошел со своим proposal туда, а подавал я в следующие проекты SimpleCV и OpenCV, видимо зацепило меня в свое время компьютерное зрение. Опыт был для меня уникальный, писать какое-то предложение, на английском, обсуждать его с кем-то...интересно, но судя по результатам -- я не справился. Забавно, что одного из менторов, я потом нашел в ретвите кого-то из друзей. Фолловьте, попадаются интересные вещи у нее.
А кто то из читателей участвовал? Кто проходил? Как все прошло?
Как то я писал о том как не надо устраивать конкурсы. Думаю, что обоюдные выводы были сделаны. А вот некоторое время назад, ленту заполонили репосты вот такого вида
Ну вы их видели =) Ну и я по привычке решил глянуть, что там стоит за конкурсом.
Логика дизайнеров конкурса была такая:
1) Проходит тест
2) Получает результат
3) Предлагается расшарить результат
4) После выбора социальной сети открывается окошко для шаринга
5) По закрытию окошка, выпадает штука, где просят вбить почту, для участия в конкурсе
Пункт 4 и способы учета и накручивания ссылок мы проходили в прошлый раз. А пункт 5 выглядел новым и необычным. Исследуем!
Формируем curl запрос
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Узнаем, что вариантов ответа не очень много: все ок, такая почта уже была, это не корректная почта. И при этом не требуется никаких дополнительных заголовков! Красота!
Участвующие в конкурсе почты где-то хранятся и для каждой отсылается письмо. А что если поменять регистр первого символа?!(gmail не учитывает регистр) Все ок, письмо пришло. А что если вставить точку разделитель?!(gmail и их игнорирует) Все ок!!! Кайфуем!
То есть для одной почты длиной N(для простоты возьмем вариант только с буквами), мы можем cгенерировать 2^(2*N - 1) вариантов почты. Что много! Потенциально можно забить их почтовый пул и потенциально выиграть их всех))
Потом пошли фиксы. Стали учитывать регистр, точки, сделали обязательными какие-то куки. Но все закрыть не смогли, оставлю это на сладкое =)
Так что ребята, проектируйте тщательнее или заказывайте у меня аудит ваших промо-акций %)
P.S. Ну а еще такая штука была в соседней промке с Санкт-Петербургом.
