Hackerone кажется начал прислушиваться к исследователям и навалил кучу годноты в документ со стандартами платформы. Стандарты описывают ситуации когда бездушный CVSS может не покрывать какие-то условия. А слепое следование CVSS часто очень больно сказывается на оценке репорта. Кастомеры конечно имеют шанс не следовать этим стандартам. Но вот лишний раз теперь можно ткнуть носом когда понадобится.
Из важного:
- IDOR где айдишник не предсказуемый так же может считаться валидной багой, но вот "Attack Complexity" нужно считать "High"
- Нашли доступ и смогли объяснить их происхождение - теперь это валидная проблема. Искренне не понимал программы, которые думают что они умнее рисёрчера и придумывают причины почему полный доступ к инфре - informative. Есть конечно нюансы, но в целом платформа/индустрия признаёт уже эту проблему. И это отлично.
- Более подробно и объективно разобрали систематические баги и необходимость учитывать разные уязвимые параметры как разные уязвимости. В целом годно что написано в стандартах. Но для нервной системы проще держать второй репорт до тех пор пока первый не пофиксят.
- Если затащили 3rd party багу в системе которая в скоупе. То теперь рекомендуют учитывать такую багу как багу в скоупе. Т.к компания сама выбрала использование 3rd party, а значит осознанно пошла на риски.
Больше информации и подробностей тут.
Советуют прочитать несколько раз, чтоб иметь в себе силы и желание отстаивать критичность репорта 😉

Зацепился с одним рисёрчером в обед на тему полисей, скоупов и странных результатов.
Ну и он нарассказывал всяких неприятных историй о том как открытые монги, бакеты, эластики и прочие айтишные приколы, оказываются не в скоупе некоторых VDP/BBP. Потому что, ВНЕЗАПНО, у них не совпадает доменное имя с тем что написано в полиси программы.🤦‍♂️
И смешно и грустно. Я до сих пор вспоминаю как пару критичных багов в Amazon закрыли с фиксом без выплат, потому что полиси написано amazon.* , а я нашел amzn-*. Будь проклят тот чел, который сэкономил на гласных буквах 🤬
Накидайте ваши криножовые истории в комментариях 😉️️️️️️ Интересно, есть ли среди читателей король аут-оф-скоупа.

Осталось проверить что получилось. 😇

Представляю вашему вниманию первый выпуск. Надеюсь для многих из Вас он будет интересным и полезным. Подписывайтесь на канал, и следите за следующими выпусками 😉
https://youtu.be/NadU6PddLdg?si=IzFLLW32VKkvyXaa

Не исключено что эта заметка спасет кому-то жизнь поможет обойти хитроватый фильтр в приложении благодаря особенностям нормализации различных символов в вебчике.
https://0xacb.com/normalization_table
Автор этой таблички кстати так же автор весьма полезного проекта на гите.
https://github.com/0xacb/recollapse
PS: Ну и это не менее полезный проектик - https://gitlab.com/michenriksen/jdam

Поныл немного порталу Cyber Media о специфике оценки уязвимостей на разных багбаунти-платформах, опыте взаимодействия с триажерами и существующих стандартах в этой сфере. Ну и о проблемах тоже не забыл.
Холивар в чате объявляю открытым. Не держите в себе 😁

Нашел способ как закодироваться за собственные деньги от поиска багов у Пентагона и прочих компаний.
Так что не ждите историй о взломах в ближайшее время 💁‍♂️

Классный RoadMap подкинул мне по сертификациям один приятель.
https://pauljerimy.com/security-certification-roadmap/
И распределение сразу в нескольких плоскостях. И хинты есть по ценам.
Ну и оставлю тогда тут то, как определяет ценность сертификатов Synack. Их грэйды тоже в какой-то степени определяют значимости по уровням и различным критериям.
https://www.synack.com/red-team/pathways/

В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾
https://youtu.be/2KCSxYQ543M