Kaptam tőlük egy levelet, mely szerint az egyik oldalamon XSS sérülékenység található. Készítsek rá egy bounty programot most azonnal. A riport alapján megnéztem az apache logban mit csesztettek. Egy keresőmezőbe tudtak injektálni kódot. Valóban nem szűrtem rá. Vicces dolgokon kívül el nem tudom képzelni mire használható az így bejuttatott kód. Ehhez minimum el kellene juttatni valamelyik useremnek egy linket, ami a kódot tartalmazza. Na mindegy. Kód kijavít, riport megköszön. Mindezt pár perccel a hibabejelentést követően. Erre a cigány küld egy ilyen levelet:
Hello,
I appreciate your prompt attention to this matter and your commitment to maintaining the security of your website. I wanted to let you know that I have verified the steps you took to address the security vulnerability on your website, and I am pleased to confirm that the issue has been successfully resolved.
I would like to kindly request a reward for the services I have provided. I believe that my efforts have added value to your project and I am confident that you share the same sentiment. If it is not too much trouble, would you please consider compensating me for my time and effort?
I understand that compensation may not have been discussed beforehand, and I apologize for any inconvenience. However, I would greatly appreciate your consideration in this matter.
I receive rewards through PayPal : *@gmail.com , otherwise I can receive it via transfer wise, payoneer or bank transfer.
Please note that I can provide an invoice if needed.
Thank you for your time and attention to this request. Please let me know if there is anything else I can assist you with.
Best regards.
=================================
Az egész sztoriban a gusztustalan az, hogy inkább zsarolásra hasonlít, mint segítségre. Jelentéktelen hibákból akarnak pénzt csinálni.