Bounty On Coffee
Open in Telegram
Заметки по пентестам, bugbounty, разработке, менеджменту... ЛС: @r0hack Весь контент в канале исключительно с образовательной целью!
Show more4 666
Subscribers
+524 hours
+57 days
+3230 days
Posts Archive
4 666
Repost from InfoSec VK Hub
🤩 Максимальные выплаты — за реальную защищенность пользователей
Фокусируемся на том, что действительно важно — на приватности и безопасности пользовательских данных.
🔹С 1 июля мы меняем правила программы багбаунти: теперь не важно, какая именно бага найдена, важно — какой импакт она несет. Любые узявимости, которые позволяют получить доступ к данным пользователей будут оцениваться по новой шкале.
🔹 Например, в наших социальных сетях Account Takeover теперь будет оцениваться наравне с RCE.
Также оцениваться будут репорты не только в наших социальных сервисах, но и в VK Cloud, VK Workspace и VK HR Tek.
🔹 За нарушение изоляции между проектами пользователей в VK Cloud можно получить до 1 000 000 ₽.
В каких программах изменения?
🔹ВКонтакте
🔹Одноклассники
🔹VK Видео
🔹VK Workspace
🔹VK Cloud
🔹VK HR Tek
Все существующие категории остаются в силе — мы дополняем программы новыми сценариями, чтобы сделать акцент на защите пользовательских данных.
Спасибо каждому, кто помогает делать наши продукты безопаснее 💙
⭐ Не забывайте и про Bounty Pass: с каждым новым оплачиваемым отчетом можно получить до +5% к каждому следующему вознаграждению.
VK Security | Буст этому каналу!
#bugbounty #bountypass
4 666
Несколько дней назад сдавал довольно критический недостаток, в ходе эксплуатации с моей стороны был деструктив, из-за чего один из сервисов прилёг. После нескольких дней изучения инцидента было вынесено решение ничего не выплачивать мне.
По правилам багбаунти вендор имеет на это полное право! Но правильно ли так делать сразу при первом таком косяке? Учитывая, что за последние пару лет приносил много критов и хаев и сделал [продукт] безопаснее. В любом случае решать, конечно, вендору.
Но почему я решил про это написать — не для того, чтобы пожаловаться, а потому что вспомнил историю из 2020 года на HackerOne.
Это было с Readme (на тот момент новая программа), где у меня почти не было багов. И при таком косяке мне просто сделали предупреждение. Ограничивать выплаты не стали.
Но я тогда только начинал, и вот очередной косяк. У меня на тот момент уже было 3 крита сданных, которые еще были в работе. Что сделал вендор, можно увидеть на скрине. Если в общем, то сказали: предупреждали, и при втором косяке уже должны забанить. И при этом они мне выплатили по всем 3 критам по максимальной границе.
4 666
Repost from Поросёнок Пётр
Один из «отцов» русскоязычного Bug Bounty залетел на подкаст и поделился своим опытом, подходами и стратегиями поиска уязвимостей.
Поговорили про выбор целей, участие в hacking events, состояние bug bounty в СНГ и то, что на самом деле помогает находить хорошие баги годами, а не случайно время от времени.
Уверен, что выпуск будет интересен и полезен как новичкам, так и опытным исследователям.
Приятного просмотра 😉
4 666
Repost from BI.ZONE Bug Bounty
+3
🐞 Мы официально подвели итоги, вот наш топ-10:
1️⃣thxStuck
2️⃣r0hack
3️⃣adsec2s
4️⃣rolegiv
5️⃣DiZZxExZuperi
6️⃣ghosthacker
7️⃣godfuzz3r
8️⃣zero-0x00
9️⃣K1nder
1️⃣0️⃣savAnna
Поздравляем ребят и отправляемся все вместе отмечать успехи нашего сообщества!
Спасибо всем участникам, друзьям сообщества и вендорам за ивент.
Фото и видео с мероприятия выложим чуть позже.
Stay tuned 💙
4 666
Repost from N/a
Positive Technologies · Standoff365
👎 Not recommend · @d3n13d
«Пофиксили уязвимость, чтобы не платить баунти?
Три месяца ждал разбор простейшего репорта по отравлению кеша (взяли в работу через пару дней, но потом ушли в игнор, допинал через поддержку с 3 раза).
По итогу уязвимость они пофиксили (есть два скринкаста в репорте - видно, что поведение изменилось; есть скринкаст, что раньше стреляло), а в репорте ответили, что ничего не воспроизводится, и закинули его в "отклонён" как мусор.
На вопрос из разряда "что за прикол, вы пофиксили, вот пруфы" триажер ответил, что "Никакие дополнительные изменения не вносились в работу сайта компании.".
Раскрыть отчёт тоже не дали - "Мы не даем согласие на раскрытие деталей данного отчета.".
Не рекомендую эту программу и компанию.»
Read full review on HackAdvisor →
4 666
В самом первом Hacks (не прозвали 😒) и в Ahmedabad не участвовал
https://hacks.standoff365.com/
4 666
Repost from Standoff 365
+4
Финал Standoff Hacks. Шанхай, день второй 🇨🇳
GG. Доиграли до конца.
Топ-3:
🥇 r0hack — MVP Standoff Hacks
🥈 freeman
🥉 BlackFan
MVP по программам:
🏆 BlackFan — Т-Банк
🏆 brain — VK
🏆 hussein98d — «Инфосистемы Джет»
🏆 Antart — Битрикс24
30 топовых багхантеров
350+ отчетов
23+ млн ₽ баунти
Две недели интенсивной работы: сотни отчетов, плотный триаж и реальные результаты.
Спасибо всем исследователям, кто держал темп до финала.
Это и есть настоящий Hacks.
Новый Standoff Hacks через… скоро 👀
4 666
Hacks взят!
Standoff Hacks Hanoi (2024) - 2nd
Standoff Hacks Shanghai (2026) - 1st
4 666
Удобно нынче стало, все что не нравилось, но нужно было делать, теперь можно передать помощнику Жан Клоду Ван Даму
4 666
Кто-то скажет: "Ну у VM6 у себя в стране серверы, а в примере выше голандский"
С такими же параметрами, как у VM6, но сервер в Москве у TimeWeb тоже сильно дороже
4 666
Чтобы вы понимали, насколько дешево у Timeweb
Вот тут у - https://www.vm6.co.uk/uk-vps-hosting
- 1 CPU в 4.3Гц с бустом до 5.7
- RAM идентичный
- 10 Гбит/c
- 25 GB storage
И вот это, дороже в 13 раз. УЖАС!
4 666
У TimeWeb ценники на сервера стали невероятно дешевыми и это еще и на целые 3 герцовые процы.
