🔒💻 Дневник Хакера: охота на уязвимости в финтехе
Сегодня весь день тестировал программу Bug Bounty одного крупного российского банка 🏦 (не буду палить название, NDA же! 😎)
Что было сделано за сегодня:
🔍 Разведка:
• Собрал и проанализировал инфраструктуру - десятки поддоменов, сервисов, API endpoints
• Нашёл публичную техническую документацию их внутреннего API (кстати, интересно оформлена!)
• Изучил архитектуру платёжной системы - номинальные счета, виртуальные балансы, сделки... банкинг сложнее чем кажется! 🧠
🛡️ Тестирование безопасности:
• Проверил аутентификацию - используют PKI с цифровыми подписями, солидно!
• Прогнал automated scanners с соблюдением rate-limit (10 req/sec как положено)
• Нашёл несколько интересных зацепок, но пока рано говорить 🤐
💡 Что понял:
Банковская безопасность - это другой уровень. Core системы защищены как надо (PKI, IP whitelist, signing), но веб-приложения всё ещё имеют attack surface. Завтра буду копать глубже в сторону e-commerce части.
📚 Использованные инструменты:
Burp Suite Pro, Nuclei, subfinder, httpx, curl, и конечно же brain.exe 🧠💪
Кайфую от процесса! Это как квест - ищешь слабое место, тестируешь гипотезы, учишь архитектуру. И при этом помогаешь компаниям стать безопаснее 🛡️
P.S. Да, я работаю легально в рамках официальной Bug Bounty программы с signed NDA. Ethical hacking only! 😇
#bugbounty #cybersecurity #ethicalhacking #infosec #pentest #хакинг #кибербезопасность #bugbountyhunter #банки #fintech
Сегодня весь день тестировал программу Bug Bounty одного крупного российского банка 🏦 (не буду палить название, NDA же! 😎)
Что было сделано за сегодня:
🔍 Разведка:
• Собрал и проанализировал инфраструктуру - десятки поддоменов, сервисов, API endpoints
• Нашёл публичную техническую документацию их внутреннего API (кстати, интересно оформлена!)
• Изучил архитектуру платёжной системы - номинальные счета, виртуальные балансы, сделки... банкинг сложнее чем кажется! 🧠
🛡️ Тестирование безопасности:
• Проверил аутентификацию - используют PKI с цифровыми подписями, солидно!
• Прогнал automated scanners с соблюдением rate-limit (10 req/sec как положено)
• Нашёл несколько интересных зацепок, но пока рано говорить 🤐
💡 Что понял:
Банковская безопасность - это другой уровень. Core системы защищены как надо (PKI, IP whitelist, signing), но веб-приложения всё ещё имеют attack surface. Завтра буду копать глубже в сторону e-commerce части.
📚 Использованные инструменты:
Burp Suite Pro, Nuclei, subfinder, httpx, curl, и конечно же brain.exe 🧠💪
Кайфую от процесса! Это как квест - ищешь слабое место, тестируешь гипотезы, учишь архитектуру. И при этом помогаешь компаниям стать безопаснее 🛡️
P.S. Да, я работаю легально в рамках официальной Bug Bounty программы с signed NDA. Ethical hacking only! 😇
#bugbounty #cybersecurity #ethicalhacking #infosec #pentest #хакинг #кибербезопасность #bugbountyhunter #банки #fintech