Сообщение от {iddqd}

{iddqd} said:
↑
facebug@mail15.com

Сообщение от None

To fully evaluate a rate limiting / brute forcing report, we generally need four things:
1) The endpoint to which the actual request goes (Eg,
facebook.com/test/thing.php?p=1
)
2) The total number of requests/attempts you were able to make. (Eg, 1000)
3) The time in which you made those requests/attempts. (Eg, 1000 in 2 minutes)
4) Some demonstration that you weren't actually just silently locked out (Eg, request 1001 was the correct guess and worked as normal.)
Thanks,
Randy
Security

Сообщение от Octavian

Octavian said:
↑
Отправил репорт в администрацыю ответили такое дальше что

Сообщение от Mumu

Mumu said:
↑
Ты походу нашел уязвимость брутфорса (судя по вопросам FB), так что ценность уязвимости будет высока и награда может быть хорошей.
Если хочешь от них денег, то отвечай им на вопросы, чтобы они могли оценить реальность найденной тобой дыры.

Сообщение от translate.google.com

translate.google.com said:
Чтобы полностью оценить отчет о принудительном ограничении скорости / грубой нагрузке, нам обычно требуются четыре вещи:
1) Конечная точка, по которой идет фактический запрос (например, facebook.com/test/thing.php?p=1)
2) Общее количество запросов / попыток, которые вы могли сделать. (Например, 1000)
3) Время, в которое вы делали эти запросы / попытки. (Например, 1000 за 2 минуты)
4) Некоторая демонстрация того, что на самом деле вы не были просто заблокированы (например, запрос 1001 был правильной догадкой и работал как обычно).
Благодаря,
похотливый
Безопасность

Сообщение от crlf

crlf said:
↑
Они хотят доказательств, что этот баг работает, т.к. они не всилах проверять весь невалидный мусор который им отправляют. Запиши видео с демонстрацией, так будет проще всего.