Buongiorno ragazzi, sembrerebbe che Meta lasci "attaccare" Instagram per scoprire vulnerabilità e segnalarle legalmente (anche in cambio di un compenso da parte di Meta), ma c'è un problema:
dopo aver iniziato ad analizzare l'app con ZAP mi sono arrivate minacce sulla dashboard del mio profilo dallo staff di Meta, in cui mi hanno intimidato la sospensione dell'account, con l'accusa di "botting".
Ma, mi spiegate come funziona il bug bounty se l'app non è neppure analizzabile, e il codice sorgente ovviamente non è accessibile? Non è possibile "indovinare" le vulnerabilità senza prima compiere un'analisi approfondita e simulare un attacco. Specifico che in ZAP non ho neanche lanciato neanche un'analisi attiva, optando piuttosto per lo scanner passivo senza headless mode, al preciso scopo di risultare quanto meno invasivo possibile con le webrequests, ma a quanto pare non è bastato.
Specifico che per l'analisi ho scelto ZAP in quanto è open source e fornisce accesso ad alcune capacità che in Burp sono ottenibili solo con la versione a pagamento.
Voi che metodo usate? Se avete mai partecipato al bug bounty, siete mai incorsi in quest'inconveniente?
dopo aver iniziato ad analizzare l'app con ZAP mi sono arrivate minacce sulla dashboard del mio profilo dallo staff di Meta, in cui mi hanno intimidato la sospensione dell'account, con l'accusa di "botting".
Ma, mi spiegate come funziona il bug bounty se l'app non è neppure analizzabile, e il codice sorgente ovviamente non è accessibile? Non è possibile "indovinare" le vulnerabilità senza prima compiere un'analisi approfondita e simulare un attacco. Specifico che in ZAP non ho neanche lanciato neanche un'analisi attiva, optando piuttosto per lo scanner passivo senza headless mode, al preciso scopo di risultare quanto meno invasivo possibile con le webrequests, ma a quanto pare non è bastato.
Specifico che per l'analisi ho scelto ZAP in quanto è open source e fornisce accesso ad alcune capacità che in Burp sono ottenibili solo con la versione a pagamento.
Voi che metodo usate? Se avete mai partecipato al bug bounty, siete mai incorsi in quest'inconveniente?