Büyük bir bahis sitesinde SQL Injection zaafiyeti buldum. Ancak bu basit bir SQL değil; normalde Cloudflare firewall, SQL sorgusu atıldığında Kafanıza vuruyor. Burada kullandığım yöntem ise MySQL load_file() özelliğini kullanabilmem. Bu sayede veriyi DNS aracılığıyla dışarı çıkarıyorum DNS EXİFLTRATİON Yöntemi ile ve firewall'a takılmıyorum. Bunun üzerinden RCE'ye kadar gidebilirim, çünkü büyük ihtimalle INTO OUTFILE kullanırım ve siteye yazma yetkim var. Uzun uğraşlar sonucunda bulduğum bir güvenlik zaafiyeti. Kurum açıkçası gerçekten çok büyük bir bahis sitesi, ama illegal. Sizce bu zaafiyeti paylaşmalı mıyım?"
Bahis sitesinde bulunan SQL Injection zaafiyetini kuruma nasıl bildirebiliriz?
- Konbuyu başlatan Brad65
- Başlangıç tarihi
Size kalmış bir durum ama şahşi fikrimi sorarsanız mail ile durumu bildirin. Hatta bazen yaptığınız bildirime karşılık ödül vs verebiliyorlar
Yerinizde olsam sesini çıkarmam.
Web site herhangi bir bug bounty platformunda yok. Kötü niyetli değilim kurumun verisini alma gibi amacım yok. Legal bir site değil. Ama insanların ocağını söndürdüğünü biliyorum. Ödül vereceklerse bildiririm bilmiyorum belki zaafiyeti yurt dışı sitelerinde satarım. Açıkcası kurumla iletişime geçme konusunda kararsız kaldım.
İllegal sitelerin ne olduğu belli değil pkkya mı para kaçırıyorlar bilemeyiz. Ordan gelecek ödül de nekadar hayırlı bilemezsin geleceği de şüpheli.
İnsanlar ocağını kendi seçimleriyle söndürür. Yani kimse silah dayayıp da oyna demiyor ama ödül verseler bile bir yere bağışlarsanız en hayırlısı olur
Request bu şekilde 
Kesinlikle haklısınız. Evet 1000 veya 2000 Dolar verseler bile bu parayı SMA hastaları için vereceğim.