Forwarded from Standoff 365
Встречаем 25 лучших исследователей на Standoff Hackbase и Standoff Bug Bounty 🏆
Целый год хардкора и выхода на критические уровни — все ради того, чтобы поднять планку безопасности. Спасибо ребятам за каждую найденную уязвимость, за скил и преданность делу.
Никогда не сдавайся, иди до конца и покоряй топ😎
Целый год хардкора и выхода на критические уровни — все ради того, чтобы поднять планку безопасности. Спасибо ребятам за каждую найденную уязвимость, за скил и преданность делу.
Никогда не сдавайся, иди до конца и покоряй топ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥35👍6❤🔥1😁1
Немного общей статистики за весь период существования РФ ББ и за 2025 год
1. Топ-10 программ по выплатам за весь период
2. Топ-10 программ по выплатам за 2025 год
3. Дубликаты-Принятые за весь период
4. Дубликаты-Принятые за 2025 год
5. Распределение по критичности
2025 год получился чуть слабее, чем 2023 и 2024.
К ивентам в этом году особого интереса не было ну и в целом их было поменьше, на Standoff сдвинули на 2 место.
И казалось бы вот, потерял интерес к ББ, пора уступать молодым, но нет. Оказывается еще интересно ломать, за последние 3 месяца получилось выйти на хороший уровень и почти догнать предыдущие годы.
В 2026 году желаю желаю всем интересных целей, больших выплат и сильной конкуренции, ведь ББ - это игра.
P.S. Статистика собрана с помощью https://github.com/vladpi/bugbounty-stats и ИИ
1. Топ-10 программ по выплатам за весь период
2. Топ-10 программ по выплатам за 2025 год
3. Дубликаты-Принятые за весь период
4. Дубликаты-Принятые за 2025 год
5. Распределение по критичности
2025 год получился чуть слабее, чем 2023 и 2024.
К ивентам в этом году особого интереса не было ну и в целом их было поменьше, на Standoff сдвинули на 2 место.
И казалось бы вот, потерял интерес к ББ, пора уступать молодым, но нет. Оказывается еще интересно ломать, за последние 3 месяца получилось выйти на хороший уровень и почти догнать предыдущие годы.
В 2026 году желаю желаю всем интересных целей, больших выплат и сильной конкуренции, ведь ББ - это игра.
P.S. Статистика собрана с помощью https://github.com/vladpi/bugbounty-stats и ИИ
👍17🔥12❤🔥2😁2
Bounty On Coffee
Немного общей статистики за весь период существования РФ ББ и за 2025 год 1. Топ-10 программ по выплатам за весь период 2. Топ-10 программ по выплатам за 2025 год 3. Дубликаты-Принятые за весь период 4. Дубликаты-Принятые за 2025 год 5. Распределение по критичности…
Ну и конечно, результаты ваших успехов и неудач взаимодействия с вендорами в 2025 году предлагаю всем рассказать на - https://hackadvisor.io/
Сделаем ББ более прозрачным.
Сделаем ББ более прозрачным.
HackAdvisor
HackAdvisor — Bug Bounty Programs Aggregator
Compare 600+ bug bounty programs. Find the best programs, check rewards, read community reviews.
👍15🔥5❤🔥2😁2
Bounty On Coffee
Немного общей статистики за весь период существования РФ ББ и за 2025 год 1. Топ-10 программ по выплатам за весь период 2. Топ-10 программ по выплатам за 2025 год 3. Дубликаты-Принятые за весь период 4. Дубликаты-Принятые за 2025 год 5. Распределение по критичности…
Просили сделать распределение по критичности по годам.
👍15❤🔥3
Сколько бы за такой первый баг (zero‑click ATO) заплатили бы у нас на ББ ?
😁9👎1
Forwarded from BugXplorer (j b)
Two XSS. $312,500. A reminder not to dismiss client-side vulnerabilities.
https://ysamm.com/uncategorized/2025/01/13/capig-xss.html
https://ysamm.com/uncategorized/2025/01/13/capig-xss.html
🔥8
BugXplorer
Two XSS. $312,500. A reminder not to dismiss client-side vulnerabilities. https://ysamm.com/uncategorized/2025/01/13/capig-xss.html
Просто представьте, за 2 бага чел получил больше бабла, чем почти все у нас на бб за 3 года 😁😁
😁23👍2
Bounty On Coffee
Просто представьте, за 2 бага чел получил больше бабла, чем почти все у нас на бб за 3 года 😁😁
Но в защиту нашего ББ могу сказать, что таких программ забугром не так то и много и 10 не сосчитать. Большая часть на таком же уровне выплаты
😁11👍3
Bounty On Coffee
Сколько бы за такой первый баг (zero‑click ATO) заплатили бы у нас на ББ ?
https://ysamm.com/uncategorized/2026/01/15/steal-fxauth-leads-instagram-ato.html
А за такой баг? 2‑click ATO
З.Ы. Почти все за такое выплатят, как за обычный CSRF
Я вот сейчас задумался, а ведь у нас реально по импакту мало кто и платит.
Сейчас могу выделить только МКБ и OZON. Остальные выплатили бы по ТАБЛИЦЕ
А за такой баг? 2‑click ATO
З.Ы. Почти все за такое выплатят, как за обычный CSRF
Я вот сейчас задумался, а ведь у нас реально по импакту мало кто и платит.
Сейчас могу выделить только МКБ и OZON. Остальные выплатили бы по ТАБЛИЦЕ
👍6👎2😁1
Forwarded from Standoff 365
43 миллионера-багхантера на платформе Standoff Bug Bounty 🤵
Заинтригованы? А теперь давайте вместе подведем итоги работы Standoff Bug Bounty за 2025 год.
📈 В прошлом году платформа показала рост по всем показателям:
🔘 Было запущено 233 программы — в 2,2 раза больше, чем годом ранее. Рынок багбаунти продолжает расти, а к поиску уязвимостей все активнее подключаются не только онлайн-сервисы, но и оффлайн-бизнес, ИТ-вендоры и государственные организации.
🔘 Хакеры сдали 7870 отчетов, из которых 2909 были приняты — это +34% к прошлому году. Больше всего активности традиционно пришлось на программы финансовых сервисов.
🔘 2025 год запомнился и новыми рекордами:
➡️ максимальная выплата составила 4 970 800 ₽, а средняя награда выросла на 12% и достигла 65 416 ₽.
🔘 Уязвимости контроля доступа по-прежнему в фокусе. В 2025 году 58% уязвимостей высокого и критического уровня опасности относились именно к этому классу. Он остается самым актуальным за все время работы платформы.
🔘 За год через платформу выплачено 160 924 226 ₽ — это +49% по сравнению с 2024 годом.
🔘 Кроме того, мы не только подвели итоги.
➡️ В этом году команда Standoff Bug Bounty провела полноценное исследование рынка багбаунти: мы разобрали ключевые тренды, мотивацию компаний и то, какие программы действительно привлекают хакеров.
Но главным достижением за все годы работы платформы остаетесь вы, комьюнити. Спасибо за ваш вклад!
А подробнее про итоги работы Standoff Bug Bounty в 2025 году читайте в нашем большом исследовании.
Заинтригованы? А теперь давайте вместе подведем итоги работы Standoff Bug Bounty за 2025 год.
Но главным достижением за все годы работы платформы остаетесь вы, комьюнити. Спасибо за ваш вклад!
А подробнее про итоги работы Standoff Bug Bounty в 2025 году читайте в нашем большом исследовании.
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥12❤🔥5😁4👍1
Forwarded from [DeteAct] Оценка защищённости
Захват аккаунта через telegram-бот: от своего номера к чужому профилю
Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных.
Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/
Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных.
Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/
Deteact - Тестирование на проникновение. Информационная безопасность
Захват аккаунта через telegram-бот: от своего номера к чужому профилю - Deteact
Автор баги: arkiix Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки…
1🔥20👍5👎3
Forwarded from Очерк
Иногда, когда читаешь раскрытый репорт или статью на Medium об уязвимости в багбаунти, хочется потрогать это руками и заложить у себя в навыках ту или иную багу немного глубже.😵💫
Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/
Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится.
Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев.
В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна.
Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻
Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠
Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/
Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится.
Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев.
В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна.
Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻
Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤🔥40🔥21👍6😁1