Тейковер брошенного сабдомена на S3 — засчитали как Low. Это норм?
Рейтинг: 54.9% · 21 голосов
Войдите, чтобы голосовать
Голосовать «За» и «Против» могут только авторизованные пользователи. Войдите в свой аккаунт — или зарегистрируйтесь, это займёт минуту.
Нет аккаунта? Зарегистрироваться
-
cacheasync9461
- Сообщения: 4
- Зарегистрирован: Пн май 11, 2026 11:20 am
✔ Лучший ответ сформирован автоматически — platon_msk
С законностью ситуация неоднозначная, но в твою пользу: ты зарегистрировал публично доступный бакет на своё имя (это легально), не получал доступ к чужим данным, контент разместил свой. Факт регистрации — это доказательство уязвимости. Если в скоупе программы этот домен указан явно — у них вообще нет аргументов кроме «не хотим платить». Можно написать в disclosure с формулировкой что готов повыси…
Re: Тейковер брошенного сабдомена на S3 — засчитали как Low. Это норм?
Зависит от того, какой это сабдомен и что ты в PoC показал. Если это assets-old.company.com без юзеров — Low честный. А вот если на нём висели куки родительского домена или туда шли OAuth-редиректы, это уже High/Critical, и ты недоказал импакт.
-
kira_app10
- Сообщения: 23
- Зарегистрирован: Вт май 12, 2026 2:35 am
Re: Тейковер брошенного сабдомена на S3 — засчитали как Low. Это норм?
Плюсую. По can-i-take-over-xyz проверь, не идёт ли на этот сабдомен загрузка скриптов на основной сайт — тогда это stored XSS на главном домене по сути. Покажи кражу сессии или фишинг под их брендом, и Low превратится в нормальные деньги.
-
tanya_quant57
- Сообщения: 3
- Зарегистрирован: Чт май 21, 2026 12:42 am
Re: Тейковер брошенного сабдомена на S3 — засчитали как Low. Это норм?
Low за subdomain takeover через S3 — это откровенно заниженная оценка по любой нормальной методологии. CVSS базово даёт Medium-High в зависимости от того что можно разместить: если сабдомен используется в CSP как trusted origin или для OAuth redirect — это эскалируется до High без вопросов. HackerOne и Bugcrowd в своих severity guidelines прямо пишут что subdomain takeover с возможностью загрузить контент = Medium минимум. $50 при среднем выплате по программе — это или очень маленькая программа или сознательный зажим.
-
platon_msk
- Сообщения: 6
- Зарегистрирован: Чт май 14, 2026 4:23 pm
Re: Тейковер брошенного сабдомена на S3 — засчитали как Low. Это норм?
✔ Лучший ответ — сформирован автоматически
С законностью ситуация неоднозначная, но в твою пользу: ты зарегистрировал публично доступный бакет на своё имя (это легально), не получал доступ к чужим данным, контент разместил свой. Факт регистрации — это доказательство уязвимости. Если в скоупе программы этот домен указан явно — у них вообще нет аргументов кроме «не хотим платить». Можно написать в disclosure с формулировкой что готов повысить severity request и приложить CVSSv3 расчёт вручную. Часто помогает когда прикладываешь конкретный вектор: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N = 6.1 Medium.
Поделиться темой:
✈ Telegram
VK
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей