Именно этим сегодня вечером занималась группировка багхантеров (сокращенно GRUBA). За 2.5 часа мы заполнили и отправили 100 разных форм в программах багбаунти. Теперь ожидаем результаты. Завтра утром все модераторы, администраторы и другие важные люди проснутся и помогут нам ответить на этот вопрос. Пока мы рассылали пэйлоады, одна из Blind XSS стрельнула в какой-то админке одного крупного сайта, наш HIGH репорт уже частично рассмотрели и попросили немного больше информации. По этому запросу информация была предоставлена. Мы получили код и скриншот страницы. Первый репорт мы сделали от нашего общего аккаунта, баунти за него будем делить пополам. Помимо этого нашли еще несколько уязвимостей и принесем их также. И также попилим.
Самое главное, что благодаря системе, которую я сегодня придумал - слив даже в теории невозможен. Никто даже и не знает чья Blind XSS стрельнула. Как сделать слив, если нет деталей?
Мы на этом не остановимся и уже в следующее воскресенье с новыми идеями продолжим похек.