Bounty On Coffee
10го ноября стартует третий Standoff Hacks. Первый прошел в мае, туда меня не позвали. Второй прошел в августе, а очная часть в Красной Поляне. На втором хаксе я сдал 60 багов и 70-80 процентов из этих багов были логическими. Многие знают, что я любитель…
На данный подано 4 заявки. Если кто-то собирался под конец срока подать, то пора.
P.S. Я думал будет больше желающих получить возможность налутать пару лямов за 2 недели 😁
P.S. Я думал будет больше желающих получить возможность налутать пару лямов за 2 недели 😁
😁9❤🔥4👎1👏1
Bounty On Coffee
10го ноября стартует третий Standoff Hacks. Первый прошел в мае, туда меня не позвали. Второй прошел в августе, а очная часть в Красной Поляне. На втором хаксе я сдал 60 багов и 70-80 процентов из этих багов были логическими. Многие знают, что я любитель…
Победителем у нас становится Иван (@fle_xxx) и получает проходу на Standoff Hacks #3
В одном из маркетплейсов, с помощью цепочки багов, которые возникали на самом маркетплейсе и в его платежном модуле, Иван мог угнать сессионную куку пользователя.
А второе место забирает @lewaper. Он нашел багу в соцсети, где можно было манипулировать значением параметра и полностью ломать профили других пользователей.
🎉🎉
В одном из маркетплейсов, с помощью цепочки багов, которые возникали на самом маркетплейсе и в его платежном модуле, Иван мог угнать сессионную куку пользователя.
А второе место забирает @lewaper. Он нашел багу в соцсети, где можно было манипулировать значением параметра и полностью ломать профили других пользователей.
🎉
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥20🔥9👏7👎1
🔥47👏6❤🔥5👍2👎1😁1
Кстати, тут завезли еще одну конфу по ИБ от JUGru - https://safecodeconf.ru/
Спрос растет и скоро из уютного маленького комьюнити превратимся в большую и уютную (или неуютную?)
P.S. только я вообще не понял по программному комитету, из ИБ комьюнити только 2-3 человека....
P.S.S. видимо скоро выкатит еще и Ontico.
Спрос растет и скоро из уютного маленького комьюнити превратимся в большую и уютную (или неуютную?)
P.S. только я вообще не понял по программному комитету, из ИБ комьюнити только 2-3 человека....
P.S.S. видимо скоро выкатит еще и Ontico.
👍4🔥2❤🔥1👏1
Cyber Media
🔎 Багбаунти по-нашему, или Как развиваются российские платформы сегодня
За последние два года многие российские багхантеры и вендоры перешли на отечественные багбаунти-площадки. За это время им удалось оценить как минусы, там и плюсы платформ.
➡️ О них, а также о перспективах российского рынка Bug Bounty – в новой статье на сайте.
За последние два года многие российские багхантеры и вендоры перешли на отечественные багбаунти-площадки. За это время им удалось оценить как минусы, там и плюсы платформ.
Тут оставлял комментарий:
> Российские платформы на данный момент еще достаточно сырые. Хотя некоторые могут сильно измениться. Большие обновления, по моим инсайтам, готовят Standoff и BI.ZONE.
И я видел то, как они будут выглядеть в ближайшем будущем. И это точно прям сильно лучше, чем то, что есть сейчас.
> Российские платформы на данный момент еще достаточно сырые. Хотя некоторые могут сильно измениться. Большие обновления, по моим инсайтам, готовят Standoff и BI.ZONE.
И я видел то, как они будут выглядеть в ближайшем будущем. И это точно прям сильно лучше, чем то, что есть сейчас.
👍15❤🔥4👎1
Интересный ресерч от коллеги @HaHacking. По Email инъекциям.
https://blog.deteact.com/ru/e-mail-injection/
https://blog.deteact.com/ru/e-mail-injection/
🔥20👍4❤🔥2
Рекомендую для новичков!, кроме тестить все по чуть-чуть 🤏. Чаще всего ни к чему не приведет.
👍1
Forwarded from 8ug8ear
Если вы задаетесь мыслями "как вкатится в багхантинг".
Или если вы опытный и вас постоянно спрашивают: как новичку найти уязвимость, когдаr0hack остальные багхантеры уже все нашли :)
https://teletype.in/@8ug8eer/testing_theory_by_novice_bughunter
Багбаунти — это публичная программа поиска уязвимостей за вознаграждение
Или если вы опытный и вас постоянно спрашивают: как новичку найти уязвимость, когда
https://teletype.in/@8ug8eer/testing_theory_by_novice_bughunter
Teletype
Способы багхантинга, проверенные начинающим багхантером или как AppSec баги искал
Всем привет, меня зовут Аня. Я работаю AppSec-м: встраиваю сканеры в пайплайн, пишу правила, документацию, учу как не допускать...
🔥17👍4😁2
Что было по ББ на Standoff:
Как выжить «мобильщику» на багбаунти - https://www.youtube.com/watch?v=TPSvVtF6vmw
Олды в багбаунти: как поменялись баги и подходы за последние 7–8 лет - https://www.youtube.com/watch?v=FRGHW5auZsI
Как выжить на bug bounty: история исследователя безопасности - https://www.youtube.com/watch?v=PvIFiHKfDgw
Систематизируем багбаунти с помощью аномалий - https://www.youtube.com/watch?v=TVKyU24n0fk
Как выжить «мобильщику» на багбаунти - https://www.youtube.com/watch?v=TPSvVtF6vmw
Олды в багбаунти: как поменялись баги и подходы за последние 7–8 лет - https://www.youtube.com/watch?v=FRGHW5auZsI
Как выжить на bug bounty: история исследователя безопасности - https://www.youtube.com/watch?v=PvIFiHKfDgw
Систематизируем багбаунти с помощью аномалий - https://www.youtube.com/watch?v=TVKyU24n0fk
👍17❤🔥4🔥3👎1
Ломал WB, до того, как это стало мейнстримом. И багу на 500к сдавал😁 (кстати, это была самая первая бага, которую сдавал в WB).
Кроме этого было еще несколько:
- SQL инъекций
- Захватов аккаунтов (в том числе клиентов основного сайта)
- Очень крутой SSRF через мобильное API
- Чтение сообщений из РокетЧата
- И еще дофига всего
А теперь вопрос, сколько багов еще осталось на WB ?
Кроме этого было еще несколько:
- SQL инъекций
- Захватов аккаунтов (в том числе клиентов основного сайта)
- Очень крутой SSRF через мобильное API
- Чтение сообщений из РокетЧата
- И еще дофига всего
А теперь вопрос, сколько багов еще осталось на WB ?
❤🔥20🔥11👍4