Гайз, делюсь последними новостями.
Чуть подкрутили систему рейтинга — теперь он выглядит более адекватным по сравнению с тем, что было на старте.
Пофиксили несколько багов, сейчас активно пилим поиск и фильтры на главной — скоро будет удобнее искать.
Верификацию тоже ускорили — теперь она проходит сразу и не будет отнимать у вас время.
Кстати, первая компания уже прокомментировала свой отзыв на HackAdvisor — движ пошёл!
С нами уже связались менеджеры из H1 — переживают, что мы дальше планируем, и интересуются, как вообще работает рейтинг.
Потихоньку наполняем проект отзывами и очень просим вас уделить немного времени и оставить свои. Это реально поможет всем нам в будущем.
В ближайшее время добавим другие багбаунти платформы и self-hosted программы, чтобы охватить как можно больше площадок.
Чтобы не спамить вас тут, все обновления будем публиковать на @hackadvisor — подписывайтесь!
Чуть подкрутили систему рейтинга — теперь он выглядит более адекватным по сравнению с тем, что было на старте.
Пофиксили несколько багов, сейчас активно пилим поиск и фильтры на главной — скоро будет удобнее искать.
Верификацию тоже ускорили — теперь она проходит сразу и не будет отнимать у вас время.
Кстати, первая компания уже прокомментировала свой отзыв на HackAdvisor — движ пошёл!
С нами уже связались менеджеры из H1 — переживают, что мы дальше планируем, и интересуются, как вообще работает рейтинг.
Потихоньку наполняем проект отзывами и очень просим вас уделить немного времени и оставить свои. Это реально поможет всем нам в будущем.
В ближайшее время добавим другие багбаунти платформы и self-hosted программы, чтобы охватить как можно больше площадок.
Чтобы не спамить вас тут, все обновления будем публиковать на @hackadvisor — подписывайтесь!
5❤13👍6🔥4
На Critical Thinking - Bug Bounty Podcast - @Rhynorater и @rez0 обсудили hackadvisor.io — круто, что о проекте говорят и обсуждают его. Есть куда двигаться и что улучшать. Работаем!
https://youtu.be/OAKMnz7qnJE?si=0KVpAVRyyPQfJC4n
https://youtu.be/OAKMnz7qnJE?si=0KVpAVRyyPQfJC4n
YouTube
Single Page Application Hacking Playbook (Ep 114)
Episode 114: In this episode of Critical Thinking - Bug Bounty Podcast we’re diving into SPA and how to attack them.We also cover a host of news items, including some bug write-ups, AI updates, and a new tool called Hackadvisor.
Follow us on twitter at:…
Follow us on twitter at:…
4🔥14❤6👍5
Друзья, хочу поделиться опытом использования ИИ в ББ, который для меня стал как верный Санчо Панса.
Например, во время одного ресерча я столкнулся с интересной задачей: в приложении использовался GraphQL с отключённой интроспекцией, но в JS-коде были сохранены все ручки. Собирать их все вручную? Не лучшая мысль.
Я отдал своему Санчо значительный кусок js-кода, и он сгенерировал список ручек в формате GraphQL.
После этого я попросил его подставить фиктивные id и uuid для проверки на IDOR через intruder. В итоге, за пять минут исследования у меня оказалось несколько валидных IDOR.
Буду рад услышать, какими хаками вы пользуетесь с помощью ИИ в багбаунти!
p.s. Мнение автора может не совпадать с вашим и может измениться после скайнета)))
Например, во время одного ресерча я столкнулся с интересной задачей: в приложении использовался GraphQL с отключённой интроспекцией, но в JS-коде были сохранены все ручки. Собирать их все вручную? Не лучшая мысль.
Я отдал своему Санчо значительный кусок js-кода, и он сгенерировал список ручек в формате GraphQL.
После этого я попросил его подставить фиктивные id и uuid для проверки на IDOR через intruder. В итоге, за пять минут исследования у меня оказалось несколько валидных IDOR.
Буду рад услышать, какими хаками вы пользуетесь с помощью ИИ в багбаунти!
p.s. Мнение автора может не совпадать с вашим и может измениться после скайнета)))
5❤14🔥4😁3👍1😱1
rrrrrr.png
127.5 KB
Привет, ребята!
Хочу поделиться своими мыслями по нашему проекту. Мы уже используем базовую метрику с платформ, но, как я обещал, hackadvisor должен быть максимально прозрачным. Именно поэтому мне кажется, что ваши идеи могут реально помочь сделать рейтинг более объективным и справедливым.
Я прикрепил фото с формулой. Посмотрите, пожалуйста, и напишите, что думаете. Было бы круто узнать, какие метрики, по вашему мнению, лучше всего отражают качество ББ программы – и в лучшую, и в худшую сторону.
Жду ваших комментариев и предложений!
Хочу поделиться своими мыслями по нашему проекту. Мы уже используем базовую метрику с платформ, но, как я обещал, hackadvisor должен быть максимально прозрачным. Именно поэтому мне кажется, что ваши идеи могут реально помочь сделать рейтинг более объективным и справедливым.
Я прикрепил фото с формулой. Посмотрите, пожалуйста, и напишите, что думаете. Было бы круто узнать, какие метрики, по вашему мнению, лучше всего отражают качество ББ программы – и в лучшую, и в худшую сторону.
Жду ваших комментариев и предложений!
4🔥10
Решил посмотреть статистику @hackadvisor и увидел вот что.
Нет, ребята, это не продаётся, и не присылайте мне КП😁
@hackadvisor это гавань свободы для хакеров.🗽
Нет, ребята, это не продаётся, и не присылайте мне КП😁
@hackadvisor это гавань свободы для хакеров.
Please open Telegram to view this post
VIEW IN TELEGRAM
5😁11⚡2👍1
Тут очередной "сюрприз" от Coinbase. Я удивлён? Конечно же, нет!
У ребят утекли персональные данные. (Кстати, именно после их прошлых выходок и появился @hackadvisor.)
https://x.com/brian_armstrong/status/1922967787309256807?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1922967787309256807%7Ctwgr%5E31f88b899454c880b413088958713d8a34831d3b%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.thestreet.com%2Fcrypto%2Finnovation%2Fcoinbase-under-attack-hackers-demand-20m
У ребят утекли персональные данные. (Кстати, именно после их прошлых выходок и появился @hackadvisor.)
https://x.com/brian_armstrong/status/1922967787309256807?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1922967787309256807%7Ctwgr%5E31f88b899454c880b413088958713d8a34831d3b%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.thestreet.com%2Fcrypto%2Finnovation%2Fcoinbase-under-attack-hackers-demand-20m
X (formerly Twitter)
Brian Armstrong (@brian_armstrong) on X
4⚡9
Был у меня однажды баг, над которым пришлось попотеть. В итоге - доступ к обучающему порталу сотрудников одной известной криптоплощадки.
Баг закрыли, портал на субдомене спрятали за Okta. Помогло ли? Ну, возможно, у кого-то доступ туда всё ещё есть, просто они об этом никогда не узнают 😏
Binance в такой ситуации спокойно сказал: «вот тебе $5K, спасибо».
А кое-кто включает эксперта по полиси и скоупу.
Серьёзные игроки платят за баги.
Преданный хейтер Coinbase😁
UDP: После этого поста от меня отписались 2 человека, кажется это были Брайан Армстронг и Фред Эрсом.🥲
Баг закрыли, портал на субдомене спрятали за Okta. Помогло ли? Ну, возможно, у кого-то доступ туда всё ещё есть, просто они об этом никогда не узнают 😏
Binance в такой ситуации спокойно сказал: «вот тебе $5K, спасибо».
А кое-кто включает эксперта по полиси и скоупу.
Серьёзные игроки платят за баги.
Преданный хейтер Coinbase😁
UDP: После этого поста от меня отписались 2 человека, кажется это были Брайан Армстронг и Фред Эрсом.🥲
5😁24🤯6❤3👍1
Вот такие моменты по-настоящему заряжают адреналином ⚡ и мотивируют двигаться вперёд 🚀
Ресерч и возможность быть вайтхетом - бесценно 💻👨💻
Я искренне обожаю всё это ❤️ Спасибо каждому, кто помог мне оказаться здесь, я навсегда предан комьюнити и отдам всё, что смогу, ради него ♾️🔥
P.S. Думаю, с момента находки прошло уже достаточно времени, теперь можно и раскрыть детали 😉
Ресерч и возможность быть вайтхетом - бесценно 💻👨💻
Я искренне обожаю всё это ❤️ Спасибо каждому, кто помог мне оказаться здесь, я навсегда предан комьюнити и отдам всё, что смогу, ради него ♾️🔥
P.S. Думаю, с момента находки прошло уже достаточно времени, теперь можно и раскрыть детали 😉
4🔥23❤5
Запустили новый раздел на HackAdvisor - теперь каждый хакер может собрать и представить свою цифровую репутацию в одном месте.
✔️ Платформы (HackerOne, Bugcrowd, YesWeHack и др.)
✔️ Навыки, технологии, стек
✔️ Статистика, достижения, сигналы
✔️ Ссылки на Telegram, Twitter, LinkedIn
Мой профиль:
https://hackadvisor.io/hacker/k3ypt0
Скоро появится общий листинг - с фильтрацией по метрикам, направлениям, платформам и другим параметрам.
Если есть идеи, фидбэк или пожелания - welcome товарищи.
Как сказал мой друг «HR дуреют с этой прикормки»😂
✔️ Платформы (HackerOne, Bugcrowd, YesWeHack и др.)
✔️ Навыки, технологии, стек
✔️ Статистика, достижения, сигналы
✔️ Ссылки на Telegram, Twitter, LinkedIn
Мой профиль:
https://hackadvisor.io/hacker/k3ypt0
Скоро появится общий листинг - с фильтрацией по метрикам, направлениям, платформам и другим параметрам.
Если есть идеи, фидбэк или пожелания - welcome товарищи.
Как сказал мой друг «HR дуреют с этой прикормки»😂
7🔥17👍11❤3
Гайз, прошу вас немного обратной связи - что бы вы хотели видеть в профилях на Hackadvisor помимо общего листинга?🤔
@Mimicate уже поделился своим видением и хотелками - большое спасибо!🤗 🐘
Буду очень признателен, если вы тоже поделитесь, что было бы удобно и полезно лично для вас. Ваши идеи и предложения реально помогут сделать сервис лучше!🔝
А для автора, который внесет самый значительный вклад в доработку профилей, приготовил небольшой бонус - бумажную версию книги “Сети глазами хакера” Магама Базарова.🔥
@Mimicate уже поделился своим видением и хотелками - большое спасибо!
Буду очень признателен, если вы тоже поделитесь, что было бы удобно и полезно лично для вас. Ваши идеи и предложения реально помогут сделать сервис лучше!
А для автора, который внесет самый значительный вклад в доработку профилей, приготовил небольшой бонус - бумажную версию книги “Сети глазами хакера” Магама Базарова.🔥
Please open Telegram to view this post
VIEW IN TELEGRAM
5❤10🤔1
Просто решил потестить новый кошелёк для своих нужд, но случайно нашёл баг, с которым можно было бы нормально пошуметь. Обычные будни багхантера, хотя я уже вроде и не ханчу, но, видимо, это преследует 😅
Штош, 2.5k вывести не получится, но пусть копятся до лучших времён💵
Штош, 2.5k вывести не получится, но пусть копятся до лучших времён
Please open Telegram to view this post
VIEW IN TELEGRAM
50🔥16👍4😁2
https://hackadvisor.io/programs/538
Раньше всё это оставалось где-то в репорте, твите или максимум в телеге у одного ресерчера.😭
А теперь такие отзывы видят тысячи багхантеров и могут сами решить, стоит ли тратить время на программу.🤷🏻♂️
Сначала фидбэк был в основном положительный, а теперь видно, как программа реально меняется.😔
Ровно для этого я и делал hackadvisor. И это только начало дальше будет еще интереснее.🚀🔝
Раньше всё это оставалось где-то в репорте, твите или максимум в телеге у одного ресерчера.
А теперь такие отзывы видят тысячи багхантеров и могут сами решить, стоит ли тратить время на программу.🤷🏻♂️
Сначала фидбэк был в основном положительный, а теперь видно, как программа реально меняется.
Ровно для этого я и делал hackadvisor. И это только начало дальше будет еще интереснее.🚀🔝
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥28❤1
Forwarded from Ильдар пишет
https://xn--r1a.website/ocherkbb/88
Мой дорогой брат @k3ypt0 делает действительно полезное дело, и как оказалось, развивает оно не только багбаунти в целом, но и границы на тему того, как можно интерактировать с исследователями безопасности.
За все мое время, когда я хантил в бб, я ни разу не сталкивался с тем, что крупный вендор после честного отзыва на HackAdvisor решит не связаться в отчете и не ответить напрямую на платформе (исправить ситуацию), а попросить знакомых мне людей "замолвить" словечко, чтобы я убрал отзыв.
Выплату за тот отчет мне никто так и не поднял. Каких-либо пояснений и ответов в отчете с июля 2024 года я не увидел.
Более того, с данным вендором у меня случались негативные ситуации за пределами бб — каких-либо контактов по решению или обсуждению мне также найти не удалось.
Этот пост я пишу для того, чтобы вы еще раз обратили внимание на чудесную разработку сообщества и теперь могли опираться на мой отзыв как на пример (есть и позитивные примеры, посмотрите, например, Standoff 365). Считаю, что подобные практики в наше время — неуважение, и буду дальше продолжать отказ от хантинга в их скоупе.
Думаю, если ситуацию и правда захотят изменить, то выберут уже другой путь.
Мой дорогой брат @k3ypt0 делает действительно полезное дело, и как оказалось, развивает оно не только багбаунти в целом, но и границы на тему того, как можно интерактировать с исследователями безопасности.
За все мое время, когда я хантил в бб, я ни разу не сталкивался с тем, что крупный вендор после честного отзыва на HackAdvisor решит не связаться в отчете и не ответить напрямую на платформе (исправить ситуацию), а попросить знакомых мне людей "замолвить" словечко, чтобы я убрал отзыв.
Выплату за тот отчет мне никто так и не поднял. Каких-либо пояснений и ответов в отчете с июля 2024 года я не увидел.
Более того, с данным вендором у меня случались негативные ситуации за пределами бб — каких-либо контактов по решению или обсуждению мне также найти не удалось.
Этот пост я пишу для того, чтобы вы еще раз обратили внимание на чудесную разработку сообщества и теперь могли опираться на мой отзыв как на пример (есть и позитивные примеры, посмотрите, например, Standoff 365). Считаю, что подобные практики в наше время — неуважение, и буду дальше продолжать отказ от хантинга в их скоупе.
Думаю, если ситуацию и правда захотят изменить, то выберут уже другой путь.
Telegram
Очерк
https://hackadvisor.io/programs/538
Раньше всё это оставалось где-то в репорте, твите или максимум в телеге у одного ресерчера.😭
А теперь такие отзывы видят тысячи багхантеров и могут сами решить, стоит ли тратить время на программу.🤷🏻♂️
Сначала фидбэк…
Раньше всё это оставалось где-то в репорте, твите или максимум в телеге у одного ресерчера.😭
А теперь такие отзывы видят тысячи багхантеров и могут сами решить, стоит ли тратить время на программу.🤷🏻♂️
Сначала фидбэк…
🔥12❤1
Небольшой лайфхак: как сказать команде «спасибо» и одновременно заинтересовать её в будущем более внимательно подойти к вашему следующему репорту.
Программам нравится (ну, возможно, не всем 😂), когда есть пространство для публичной коммуникации.
А если вы вендор - напишите на admin@hackadvisor.io. Мы откроем доступ к вашей программе на Hackadvisor, где вы сможете:
• поблагодарить хакера за отзыв,
• решить с ним проблему,
• перевести негативный отзыв в нейтральный статус,
чтобы это не влияло на рейтинг.
Всех обнял, всем добра! Впереди нас ждёт много крутых вещей🔥
Программам нравится (ну, возможно, не всем 😂), когда есть пространство для публичной коммуникации.
А если вы вендор - напишите на admin@hackadvisor.io. Мы откроем доступ к вашей программе на Hackadvisor, где вы сможете:
• поблагодарить хакера за отзыв,
• решить с ним проблему,
• перевести негативный отзыв в нейтральный статус,
чтобы это не влияло на рейтинг.
Всех обнял, всем добра! Впереди нас ждёт много крутых вещей🔥
🔥20👍5❤3
Иногда думаю про багбаунти с "недопустимым событием". На standoff365 есть программы: миллион за демонстрацию возможности зашифровать инфраструктуру.😅
Звучит щедро, но на деле победитель только один. Остальные остаются с нулём. За обычные уязвимости платить не будут, бонусы в 10 тыс. выглядят смешно. При этом компания всё равно выигрывает - десятки людей копают, находят векторы, фактически делают аудит почти бесплатно.🤷♂️
С одной стороны - честные правила: хочешь участвуй, не хочешь - мимо. С другой - ощущение, что исследователей просто используют. Мне ближе формат, где ценится каждая находка, а не только одна финальная победа.
Так что вопрос открытый: это эволюция багбаунти или перекос в пользу компании?🤔
Звучит щедро, но на деле победитель только один. Остальные остаются с нулём. За обычные уязвимости платить не будут, бонусы в 10 тыс. выглядят смешно. При этом компания всё равно выигрывает - десятки людей копают, находят векторы, фактически делают аудит почти бесплатно.🤷♂️
С одной стороны - честные правила: хочешь участвуй, не хочешь - мимо. С другой - ощущение, что исследователей просто используют. Мне ближе формат, где ценится каждая находка, а не только одна финальная победа.
Так что вопрос открытый: это эволюция багбаунти или перекос в пользу компании?🤔
51👍16💯7🤔4🔥2❤1
Эволюция бага в баг-баунти:
1. Создан → Вне скоупа
2. Вне скоупа → Недостаточно информации от хакера
3. Недостаточно информации → В работе у вендора
4. В работе у вендора → Недостаточно информации от хакера
5. Критический → Средний
6. Баг херня, посмотрим.
7. Недостаточно информации от хакера → В работе у вендора
Вывод:
Баг прошёл путь самурая - через отрицание, сомнения и обесценивание - и всё равно остался жить у вендора 🥷🐞
p.s. впереди ещё пара стадий, ждем))
p.s.s. пост исключительно в шуточном формате, автор никоим образом не снижает ламповость и работу команды VK ❤️
1. Создан → Вне скоупа
2. Вне скоупа → Недостаточно информации от хакера
3. Недостаточно информации → В работе у вендора
4. В работе у вендора → Недостаточно информации от хакера
5. Критический → Средний
6. Баг херня, посмотрим.
7. Недостаточно информации от хакера → В работе у вендора
Вывод:
Баг прошёл путь самурая - через отрицание, сомнения и обесценивание - и всё равно остался жить у вендора 🥷🐞
p.s. впереди ещё пара стадий, ждем))
p.s.s. пост исключительно в шуточном формате, автор никоим образом не снижает ламповость и работу команды VK ❤️
68😁24🤔2💯2👍1
Случайно узнал, что Толя больше не в Баг Баунти Standoff365.
Объявляюголодовку забастовку: баги не ищу, репорты не пишу.
Standoff365 без Толи - …………. грустно. Вернись, Толя😭
#ЯМыАнатолийИванов🥷
Объявляю
Standoff365 без Толи - …………. грустно. Вернись, Толя
#ЯМыАнатолийИванов
Please open Telegram to view this post
VIEW IN TELEGRAM
1😢20😁7😱2❤1💯1