Что было по ББ на Standoff:

Как выжить «мобильщику» на багбаунти - https://www.youtube.com/watch?v=TPSvVtF6vmw
Олды в багбаунти: как поменялись баги и подходы за последние 7–8 лет - https://www.youtube.com/watch?v=FRGHW5auZsI
Как выжить на bug bounty: история исследователя безопасности - https://www.youtube.com/watch?v=PvIFiHKfDgw
Систематизируем багбаунти с помощью аномалий - https://www.youtube.com/watch?v=TVKyU24n0fk

Ломал WB, до того, как это стало мейнстримом. И багу на 500к сдавал😁 (кстати, это была самая первая бага, которую сдавал в WB).

Кроме этого было еще несколько:
- SQL инъекций
- Захватов аккаунтов (в том числе клиентов основного сайта)
- Очень крутой SSRF через мобильное API
- Чтение сообщений из РокетЧата
- И еще дофига всего

А теперь вопрос, сколько багов еще осталось на WB ?

Done получается 😁

Много интересных и нестандартных статей и ресерчей получилось за 2023

https://portswigger.net/research/top-10-web-hacking-techniques-of-2023-nominations-open

Подарки от ББ платформ выходят на новый уровень 😁😁
thx: @bizone_bb

Планирую потихоньку возобновлять багхантинг, после 2х месячного простоя.

Есть идея вести что-то типа багхантерского влога, где раз в неделю буду сюда писать краткую сводку за неделю.

Сейчас занимаюсь отбором нескольких сервисов, которые начну изучать и дальше жоско ломать ))

В приоритете у меня Server-Side и логические баги, клиентская часть совсем не интересна (только если по ходу дела случайно столкнусь).
Самому интересно, что из этого выйдет.

#bugbounty

Наконец-то завезли настраиваемую сохранялку в Intuder.

Очень сильно не хватало этого.

Если сравнивать 2022 и 2023, то и количество багхантеров и качество выросло сильно. Получается идем в правильном направлении ?

З.Ы. Стабильно налажена доставка плюшек от ИБ и за ИБ. На этот раз от @secmedia

Коллеги, ищу к себе в команду технически хорошо прокаченного, уровня middle и выше, техлида и кто с soft скиллами на ТЫ.

Подробнее: https://hh.ru/vacancy/92476148
Можно и мне в личку.

Вкратце, как прошел недельный багхантинг
Могу сказать, что выбор есть и на данный момент он достаточно большой, учитывая количество багхантеров на данный момент на РФ платформах.

За неделю багхантинга, преимущественно в выходные, сдал 16 багов. В основном все уровня High, пару критов и медиумов еще.

Багхантил преимущественно на 2х программах, в 1 из них пока поверхностно, в другом забурился уже достаточно глубоко и предвещаю еще достаточно много багов.

Если разделять по типам багов, преимущественно логические баги и несколько Server-Side инъекций.

Немного статистики будущего
- На платформы выходят новые программы, которые до этого не бывали на ББ
- Не высокий уровень защищенности
- Стабильное добавление новых программ
- У крупных программ постоянно добавляется новый функционал

Учитывая все эти факторы. можно сказать, что в лайт режиме, тратя в среднем 1-3 часа в день можно сдавать 50+ багов в месяц
А если уж вы хантите фул, то и все 100-150+ багов в месяц (если все звезды сойдутся)

Ломаем дальше!

#BugHunting week 2

За вторую неделю нашлось также довольно много багов.
Сдал на данный момент 9 багов за эту неделю, 1 баг оказался дубликатом.

В итоге 25 багов за 2 недели.

Также несколько багов еще не сдал, есть шансы усилить импакт. Так как на этой недели получилось сильно усилить импакт тех багов, которые были сданы на прошлой неделе.

Из интересного получилось реализовать длинную цепочку багов, которая в итоге привела к сумасшедшему импакту.
Сейчас сижу и разбираю все это, думаю получится проникнуть еще глубже. Возможно позже получится это детально описать.

Цели
На этой неделе тестировал в основном 1 приватку и возобновил ломание сервиса Тинькоффа, который ломал летом.
Также немного поковырял новую приватку.

Как правильно залетать в багхантинг?

Пока у нас платформы не собирают статистику, приходится довольствоваться статистикой H1.

Статистика от H1. Из-за чего багхантеры выбирают ту или иную программу?

В целом у всех, наверное, примерно так есть.

#BugHunting week 3

Итак, 3я неделя получилась менее насыщенной чем 1я и 2я неделя, но и времени было потрачено сильно меньше.

В итоге: 8 багов (2 из них оказались дублями)

По марафону пока будет пауза, так как времени все меньше и стабильный хантинг отложим до более свободных времен.
Точечно какие-то баги буду искать пока.

Общая статистика за 3 недели
- в общем 33 бага
- 3 дубликата
- 1 информатив
- 1 отклонен

По отклоненному достаточно специфическая ситуация, по-хорошему надо бы докрутить, но мне пока лень.

По программам:
- Тинькофф
- Госуслуги
- 2 приватки

По платформам:
- 27 на бизон
- 6 на стендофф

3 недели, в спокойном режиме 1-3 часа в среднем в день, без ежедневного хантинга - 33 бага. То что можно сделать на текущий момент.
А новые программы активно появляются, вроде 4 программы вышло за эти 3 недели.

Удачного всем хантинга.