Forwarded from Багхантер
Именно про них я и расскажу 27 февраля в Москве на VK SECURITY CONFAB. Если в прошлый раз я рассказывал про 3 low уязвимости, то сейчас я постарался выбрать такие уязвимости, которыми я горжусь. Настоящий эксклюзив - записи не будет. Только 27.02 - только в этот день.
Регистрируйтесь по ссылке, приходите посмотреть.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤1👍1
Forwarded from Репорты простым языком VIP
expired.maxname.ru
Domain has expired zaheck.ru
Domain has expired. MaxName - official domain registrar for .RU and .РФ domain names.
🔥5👍1
Forwarded from Репорты простым языком VIP
bugbounty.bi.zone
BI.ZONE Bug Bounty
Платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей
🤮3🔥2🥱1
Forwarded from Репорты простым языком VIP
🔥 Платформа Standoff365: новая программа Positive Technologies (продукты)
https://bugbounty.standoff365.com/programs/pt_product
https://bugbounty.standoff365.com/programs/pt_product
🔥5👏1
В «Репортах простым языком VIP» уведомления о новых программах появляются иногда даже раньше, чем об этом сообщают площадки
https://xn--r1a.website/+wTTnvddt6n9kOGY0
https://xn--r1a.website/+wTTnvddt6n9kOGY0
👍6😁1
Forwarded from Репорты простым языком VIP
🔥Новый раздел на сайте
Уже можно потыкать, потестировать. Скоро релиз.
https://reports2.zaheck.ru/rating
Уже можно потыкать, потестировать. Скоро релиз.
https://reports2.zaheck.ru/rating
🔥4
За уязвимости добавлю в зал славы и на PHD подарю футболку.
😁9👌1🥱1🤨1
Forwarded from Багхантер
This media is not supported in your browser
VIEW IN TELEGRAM
Рейтинг программ by Багхантер. 15-16 числа все начнём голосовать.
Forwarded from Багхантер
Багхантер
Рейтинг программ by Багхантер. 15-16 числа все начнём голосовать.
Т-Банк лидирует в тестовом рейтинге 🎉
Forwarded from Багхантер
Вот этим ребятам большое спасибо за то что помогли протестить :)
Для Alex Shev отдельное большое спасибо 🚧
🔥5😁3
Forwarded from Багхантер
Media is too big
VIEW IN TELEGRAM
https://eh.su/rating
https://eh.su/rating
https://eh.su/rating
Голосовать можно только при входе через Telegram, в перспективе будет добавлены другие социальные сети. Каждый пользователь может отдать 10 голосов в день за свои любимые программы. Можно еще оставить комментарий, если хотите. В рейтинге есть топ голосующих, благодаря которому 5 пользователей получат призы по итогам месяца (ТОП-1 получит 15000 рублей, ТОП-2 получит 10000 рублей, а ТОП-3 получит 5000 рублей прямо на карту). Еще два человека случайным образом будут выбраны из всех остальных проголосовавших хотябы раз - и тоже получат свои призы. Крутые футболки от Багхантера. Вендоры уже могут заявить права на свои программы, чтобы получать статистику переходов и голосов, а также удобно отвечать на комментарии пользователей, все заявки будут разобраны и одобрены до конца следующей недели, когда соберется статистика.
Приходите сегодня вечером на прямой эфир в 18:00 - там я отвечу на вопросы пользователей и подробней покажу функционал сайта, расскажу что буду делать дальше.
Если остались вопросы - пишите напрямую в личку @telegadlyasvyazi2
Всех поздравляю с запуском крутого рейтинга!)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5😁1
Forwarded from Багхантер
За последнюю неделю более чем 500 пользователей посетили страницы моего сайта и сгенерировали около 3500 тысяч просмотров для рейтинга и других страниц. Пользователи просматривают в среднем 5 страниц, прежде чем выйти с сайта - это отличный показатель. Некоторые представители программ (вендоры) уже запросили доступ к статистике и возможности отвечать на комментарии пользователей - я выдал доступы. Мне важно чтобы у пользователей к рейтингу оставалось доверие - поэтому я обсуждаю с представителями платформ как сделать сайт максимально прозрачным и справедливым. Также я внедряю механизмы, чтобы повышать уверенность самих пользователей в справедливости рейтинга. Таким образом были внедрены графики просмотров и переходов за последние 7 дней для каждой программы. Вы видите их в прикрепленной фотографии. Я хочу чтобы рейтинг нужен был не только для того, чтобы высказать мнение, хочу чтобы он был одинаково полезен как программам, которые смогут получить себе новых багхантеров, так и пользователям, которые смогут выбрать себе крутую программу.
https://eh.su/vote/vkontakte_vk
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥3❤1🔥1
Forwarded from Багхантер
Когда искал эту дыру в очередной раз доказал себе, что просто стоит немного посмотреть по-шире. Там где не смотрели другие багхантеры. В итоге нашел её через сторонний сервис. Можно было легко и просто получать товары для любой частной группы - кроме информации о товарах ничего не возвращалось, к сожалению. А функционал нужен был для того, чтобы легко, собственно, эти товары и подтягивать в свой рекламный кабинет.
Совет:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤2👍1🥰1🥴1😎1
Forwarded from Багхантер
Вот эту багу удалось найти очень легко. Перемещался кликами по поиску ВКонтакте и увидел такую ссылку - https://vk.com/search/people?c[group]=ид_какой-то_группы. Я знаю что группы в социальной сети ВКонтакте начинаются с минуса обычно, но тут минуса не было. Для открытой группы я таким образом получил участников. Сразу появилась идея - а что если подставить туда ид частной группы? Подставил ид 111 и ничего. Потом добавил минус и раскрылись все участники частной группы, аватарка и название. Так и не понял почему это работало...
Совет:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13😁4❤2
Forwarded from Багхантер
При написании этого отчета вдохновился отчетами багхантера linkkss. Еще со времен HackerOne помню что он называл свои отчеты коротко и ясно: CSRF, XSS. В спешке, пока пытался составить репорт, перепутал одну букву и получилась ХХС. Ну а про саму уязвимость - это была классическая XSS в уведомлении, ничего выдающегося и сложного. Удивило место где она была, достаточно было просто вставить в первое попавшееся поле '"><img src=x onerror=alert();>, потом нажать на кнопку и отрабатывал JS-код.
Совет:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Forwarded from TSARKA (official channel)
KHS Talks: Сергей Белов и Олжас Сатиев о мифах в кибербезопасности.
KHS Talks — подкаст о кибербезопасности, где мы простым языком говорим о том, что на самом деле важно. Для обычных пользователей и для бизнеса — без сложных терминов, но по делу. Обсуждаем всё: от новостей до трендов и реальных кейсов.
В пилотном выпуске вместе с нашим гостем Сергеем Беловым, директором по информационной безопасности, мы поговорим о мифах, которые до сих пор живут в сфере ИБ. Что из этого уже давно неактуально?
1. Мифы о кибербезопасности. 2025 год: какие есть проблемы?
2. Взломы в 2010-ых. Время без https
3. За 15 лет поменялось многое. TLS сертификат
4. Можно ли пользоваться публичным Wi-Fi? Виртуальные карты. Как догонять людей с помощью Wi-Fi
5. Смена паролей. 12345Аа!
6. Режим Инкогнито в браузерах
7. Антивирусы. Нужен ли нам отечественный антивирус?
8. Компьютерные клубы. Риск взломов
9. DLP и Кибербез. Мониторят ли компании сотрудников?
10. Автозаполнения тогда и сейчас
11. Безопасна ли продукция Apple? Вирусы для MacOS
12. VPN, как дополнительное место атаки
13. Расширения в браузерах и Cookies
14. Евросоюз станет лидером в кибербезопасности?
15. Кибербезопасность — не тренд, а фундамент
Смотрим на YouTube канале:
https://youtu.be/QFotK9T8Mig?si=22fjDO0pJiU7BDFX
KHS Talks — подкаст о кибербезопасности, где мы простым языком говорим о том, что на самом деле важно. Для обычных пользователей и для бизнеса — без сложных терминов, но по делу. Обсуждаем всё: от новостей до трендов и реальных кейсов.
В пилотном выпуске вместе с нашим гостем Сергеем Беловым, директором по информационной безопасности, мы поговорим о мифах, которые до сих пор живут в сфере ИБ. Что из этого уже давно неактуально?
1. Мифы о кибербезопасности. 2025 год: какие есть проблемы?
2. Взломы в 2010-ых. Время без https
3. За 15 лет поменялось многое. TLS сертификат
4. Можно ли пользоваться публичным Wi-Fi? Виртуальные карты. Как догонять людей с помощью Wi-Fi
5. Смена паролей. 12345Аа!
6. Режим Инкогнито в браузерах
7. Антивирусы. Нужен ли нам отечественный антивирус?
8. Компьютерные клубы. Риск взломов
9. DLP и Кибербез. Мониторят ли компании сотрудников?
10. Автозаполнения тогда и сейчас
11. Безопасна ли продукция Apple? Вирусы для MacOS
12. VPN, как дополнительное место атаки
13. Расширения в браузерах и Cookies
14. Евросоюз станет лидером в кибербезопасности?
15. Кибербезопасность — не тренд, а фундамент
Смотрим на YouTube канале:
https://youtu.be/QFotK9T8Mig?si=22fjDO0pJiU7BDFX
YouTube
KHS Talks: Сергей Белов и Олжас Сатиев о мифах в кибербезопасности
KHS Talks — подкаст о кибербезопасности, где мы простым языком говорим о том, что на самом деле важно. Для обычных пользователей и для бизнеса — без сложных терминов, но по делу. Обсуждаем всё: от новостей до трендов и реальных кейсов.
В пилотном выпуске…
В пилотном выпуске…
👍1
Forwarded from Багхантер
Мониторил всякие тестовые группы разработчиков в социальной сети ВКонтакте, [чтобы найти какой-то новый функционал или старый, о котором я не знаю] - в одной из групп были скрытые подписчики. Меня это конечно же не устроило, я решил байпасить это окошечко. Соврешенно случайно попалась эта ссылка https://vk.com/search/people?group_id=219881844 - подставил туда айди и подписчики группы раскрылись. Получил 26 000 ₽ на ровном месте.
Совет:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
Forwarded from Багхантер
Наверное одно из самых опасных мест для XSS - это личные сообщения ВКонтакте. Вот так и получилось - в функционале импорта товаров, заливая специально сформированный XML с пэйлоадом в атрибуте, удалось найти эту уязвимость. Не было фильтрации. Потом выяснилось, что сообщение еще можно было и переслать [это делает дыру еще опасней]. Сами знаете, к чему может привести XSS в такой большой социальной сети.
Совет:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6