Domanda Problema con bug bounty Instagram

Netcat

Utente Jade
17 Gennaio 2022
445
128
328
691
Buongiorno ragazzi, sembrerebbe che Meta lasci "attaccare" Instagram per scoprire vulnerabilità e segnalarle legalmente (anche in cambio di un compenso da parte di Meta), ma c'è un problema:
dopo aver iniziato ad analizzare l'app con ZAP mi sono arrivate minacce sulla dashboard del mio profilo dallo staff di Meta, in cui mi hanno intimidato la sospensione dell'account, con l'accusa di "botting".

Ma, mi spiegate come funziona il bug bounty se l'app non è neppure analizzabile, e il codice sorgente ovviamente non è accessibile? Non è possibile "indovinare" le vulnerabilità senza prima compiere un'analisi approfondita e simulare un attacco. Specifico che in ZAP non ho neanche lanciato neanche un'analisi attiva, optando piuttosto per lo scanner passivo senza headless mode, al preciso scopo di risultare quanto meno invasivo possibile con le webrequests, ma a quanto pare non è bastato.

Specifico che per l'analisi ho scelto ZAP in quanto è open source e fornisce accesso ad alcune capacità che in Burp sono ottenibili solo con la versione a pagamento.
Voi che metodo usate? Se avete mai partecipato al bug bounty, siete mai incorsi in quest'inconveniente?
 
Ciao Access, ho notato che Meta ha imposto delle regole molto austere da seguire per la partecipazione alla campagna di bug bounty. Hai provato a dare un'occhiata alla pagina ufficiale?


Forse hai intaccato un dominio che non era incluso nella tabella dei domini "attaccabili". Oppure le richieste sono state catalogate come troppo invasive (hai generato troppo traffico dati) a tal punto da poter causare, a parer loro, un DoS. Credo che sia più conveniente, in questi casi, eseguire una scansione "manuale" su domini che ritieni essere particolarmente appetibili, piuttosto che eseguire una scansione massiva con un tool. Questo potrebbe risparmiarti spiacevoli inconvenienti. Inoltre, credo che sia molto, forse troppo, a discrezione loro decidere se un potenziale attacco è benevolo oppure malevolo: difficile dirlo in questo contesto. Ciao.
 
  • Mi piace
Reazioni: JunkCoder
Ultima modifica:
Ciao Access, ho notato che Meta ha imposto delle regole molto austere da seguire per la partecipazione alla campagna di bug bounty. Hai provato a dare un'occhiata alla pagina ufficiale?


Forse hai intaccato un dominio che non era incluso nella tabella dei domini "attaccabili". Oppure le richieste sono state catalogate come troppo invasive (hai generato troppo traffico dati) a tal punto da poter causare, a parer loro, un DoS. Credo che sia più conveniente, in questi casi, eseguire una scansione "manuale" su domini che ritieni essere particolarmente appetibili, piuttosto che eseguire una scansione massiva con un tool. Questo potrebbe risparmiarti spiacevoli inconvenienti. Inoltre, credo che sia molto, forse troppo, a discrezione loro decidere se un potenziale attacco è benevolo oppure malevolo: difficile dirlo in questo contesto. Ciao.
veramente no, ho fatto una scansione passiva usando ZAP come "evil" proxy su firefox. Durante la scansione ho fatto semplici azioni come loggarmi, o navigare sui profili privati degli altri utenti (per vedere se le risposte del server leakavano qualcosa d'interessante). Una scansione massiva in headless mode è una pessima idea (non ho neanche abbastanza risorse hardware per permettermela)
Messaggio unito automaticamente:

Mi scuso per l'ulteriore mancanza di trasparenza, con loggarmi intendevo loggarmi nel mio profilo ovviamente, e osservare i profili privati dall'esterno "per così dire". Ovvio che non mi interessa di violare un profilo ma di cercare una vulnerabilità di qualche tipo, da segnalare a Meta