Standoff 365
Open in Telegram
Платформа, где хакеры помогают бизнесу стать безопаснее: standoff365.com Чат @standoff_365_chat Вопросы по Bug Bounty: t.me/standoff_365/54 Техподдержка BB: @stf_bugbounty_support_bot Для красных: @red_team_support_bot Для синих: @stf_def_support_bot
Show more8 194
Subscribers
+124 hours
+187 days
+20230 days
Posts Archive
8 194
Дубль тебе или два другому 🤔
Прошел месяц после кибербитвы! Самое время вспомнить, как это было.
Мы задали вопросы о самом важном участникам. Их ответы — в ролике.
Включай видео и пиши свои варианты в комменты 👇
8 194
А мы сегодня на КиберКэмпе ☀️
Тембулат, наш комьюнити бро, уже изучил маршрут до стенда Standoff 365 — теперь твоя очередь.
Подходи, решай новые задачи на онлайн-полигоне, получай мерч и заглядывай поболтать с командой.
Если еще не успел к нам заглянуть, поторопись — количество мерча ограничено 🙂
8 194
Опа, эффки! 🪙
Ну да, видели. А сегодня добавили кошелек с эффками в личный кабинет на платформе Standoff 365!
Пока у всех пользователей на счету 0. Не волнуйтесь, так и должно быть 👍
Первыми эффки получат участники прошедшей кибербитвы Standoff 17. Это произойдет совсем скоро — сообщим дополнительно.
Их можно будет обменивать в Standoff Market на мерч, уникальные айтемы и другие приятные бонусы!
Как залутать эффки не участникам битвы — расскажем позже, следите за новостями 😎
8 194
Дроп новых тачек уже в эту пятницу ⚡️
Они появятся в сезоне на Standoff Hackbase 17 июля в 11:00 мск.
🆘 kachrava.standalone.stf
Критическое событие: срыв графика вывоза отходов по всему городу.
Сложность: easy
За последние двое суток диспетчерская служба компании Kachrava оказалась завалена звонками. Жители центральных районов Сити жаловались на переполненные контейнеры во дворах, владельцы небольших магазинов и кафе — на скопившийся мусор у служебного входа. Операторы отвечали одинаково: «Вывоз по вашему адресу запланирован на следующую неделю». Клиенты недоумевали: у многих на руках были договоры с четким графиком, который неукоснительно соблюдался годами.🔓 parrhesia.standalone.stf Критическое событие: утечка персональных данных сотрудников. Сложность: easy
На теневых форумах появилась база данных портала анонимных обращений Parrhesia — сервиса, который использовался сотрудниками крупного холдинга для передачи информации о злоупотреблениях, нарушениях этики и внутренних инцидентах. Анализ утекшей информации показал — система, гарантировавшая полную анонимность, на самом деле собирала и хранила данные пользователей.📌 Ссылки на тачки прикрепим в комментариях к посту 17 июля. Готовься ворваться на Standoff Hackbase и забрать все флаги! ⚡️
8 194
Музыка, заряженная на криты 🗡
Сегодня за музыкальное сопровождение отвечает kedr — один из самых результативных багхантеров на Standoff Bug Bounty. Исследователь, который с самого запуска платформы остается в числе лучших и совсем скоро получит уникальную ачивку за 50 критических уязвимостей.
kedr описал подборку так:
«Попытался расположить треки в порядке, соответствующем этапам хакинга. А-ля разгоняемся, усиленно ломаем, дальше немного горок — и выдыхаем».А чтобы проникнуться атмосферой багхантинга на полную, включай треки на любой удобной площадке 😊 😊 YouTube | 🎵 Яндекс Музыка
8 194
Легендарный выпуск «Начинаем в багбаунти» 🔮
Поговорим о S3 misconfigs — ошибках конфигурации объектных хранилищ, которые регулярно встречаются в реальных программах и могут приводить к утечке информации, компрометации учетных записей и другим серьезным последствиям.
Подробно разберем:
➡️ Что такое S3 и как с ним взаимодействовать
➡️ Ошибки конфигурации веб-сервера при работе с S3
➡️ Эксплуатацию разнообразных уязвимостей
Тебя ждет много практики и стендов!
Разбираться в теме будут Олег Уланов aka brain — амбассадор Standoff Bug Bounty и топ-исследователь платформы, и Сергей Бобров aka BlackFan, легенда багбаунти, неизменно входящий в топ лучших исследователей Standoff Bug Bounty, участник и победитель множества Standoff Hacks.
В описании под видео оставили полезные ссылки, чтобы ты мог сразу перейти к делу! 🖥
Включай выпуск на любой удобной платформе, чтобы узнать, на что обращать внимание при поиске подобных уязвимостей, и забирай идеи, которые можно применить на практике.
💙 VK | 😉 YouTube
8 194
От одной уязвимости до полного контроля над доменом ⌨️
В своем райтапе Евгений Кабаргин (aka kiberjen), капитан команды KiberS, рассказывает о многоуровневой атаке на инфраструктуру компании Carbon.
По легенде, ИБ обнаружила инцидент во время планового аудита: специалисты выявили подозрительную активность в сети. Выяснилось, что нарушители получили доступ к контроллеру домена Carbon. Компания вернула контроль над инфраструктурой и сосредоточилась на устранении последствий, но информация об атаке уже просочилась в сеть. Клиенты Carbon в шоке...Внутри кейса — разбор каждого этапа: 🔴 разведка и поиск точки входа 🔴 получение первоначального доступа 🔴 эскалация привилегий 🔴 компрометация домена Также там можно найти и рекомендации по защите. Все подробности — на Хабре ⬅️ Кстати, именно за киллчейн-уязвимости компании заплатили больше всего во втором квартале на платформе Standoff Bug Bounty. Это хороший повод прочитать райтап, использовать полученные знания на практике и заработать много капусты 😎 #райтап@standoff_365
8 194
Новая программа на Standoff Bug Bounty — «ЕПГУ-Выборы» 🤒
Исследуйте государственные цифровые сервисы на Standoff Bug Bounty, находите уязвимости и получайте до 500 000 ₽ за валидные отчеты.
🎯 В скоупе:
➖ elections.gosuslugi.ru
➖ kparty.gosuslugi.ru
➖ voter.gosuslugi.ru
➖ candidate.gosuslugi.ru
➖ commission.gosuslugi.ru
➖ 109.207.1.126
➖ 109.207.8.126
➖ https://www.gosuslugi.ru/600307/1/form
➖ https://www.gosuslugi.ru/600411/1/form
➖ https://www.gosuslugi.ru/600412/1/form
Заходи на Standoff Bug Bounty, ищи баги и забирай баунти 💵
8 194
Технические работы на Standoff Hackbase 🔧
Часть банковской системы (cbs.stf) будет недоступна 6 июля с 14:00 по 18:00 (мск).
8 194
Что играет в наушниках у команды разработки уязвимых сервисов и группы триажа 😈
В этом плейлисте ты поймаешь настроение и создания новых тачек, и оценки отчетов в багбаунти. А сами треки такие же, как хосты и репорты на платформе: у каждого свой характер.
Лид отдела оставил пасхалку в виде пары крутых саундов:
Очень нишевые, сам не слушал.В комментариях делись догадками, что за песни это были. А насладиться плейлистом можно по ссылкам ниже ⤵️ 😊 YouTube | 🎵 Яндекс Музыка
8 194
Собираемся на кибер опен-эйр ☀️
Команда Standoff 365 17 июля отправляется на «Лето в КиберКэмпе» — фестиваль для всех, кто живет кибербезом.
😎 На площадке тебя будет ждать активность, посвященная Bug Bounty и Hackbase. Мы подготовили два новых задания для начинающих на онлайн-полигоне.
Все, что тебе нужно, чтобы принять участие, — ноутбук, регистрация на платформе Standoff 365 и исследовательский азарт. Уже с минимальным уровнем подготовки ты сможешь лучше узнать мир белого хакинга. А за успешно выполненные задания — забрать лимитированный мерч 🕺
😎 Без докладов никуда: Иван Булавин, директор по продуктам платформы Standoff 365, выступит с темой «ИИ-участники на киберполигоне Standoff».
Обсудим:
Как мы создавали киберполигон, где ИИ-агенты выступают в роли атакующих и защитников. Как превратить хаотичную активность агентов в воспроизводимое и измеримое соревнование. Что в таком формате уже работает, где у ИИ появляются ограничения и какие вопросы пока остаются открытыми.А между активностями будем много общаться, проходить квесты, обсуждать кибербез и просто отдыхать на пуфиках. 🔵 «Берёzы Парк», Строгино, Москва 🔵 17 июля 🔵 Сбор в 11:00 Успей зарегистрироваться, чтобы хорошо провести этот летний день в компании единомышленников 🏝
8 194
Итоги 2 квартала на Standoff Bug Bounty 0️⃣
Три месяца пролетели быстро и получились насыщенными: много отчетов, крупные выплаты и новые достижения. Настало время делиться результатами!
За это время мы:
🟡 приняли 1484 отчета
🟡 выплатили исследователям 101 млн ₽
🟡 определили топ самых дорогих типов уязвимостей по сумме вознаграждений
Еще во втором квартале мы стали победителями премии «Киберпросвет» и получили награду «В поиске багов — за популяризацию багхантинга и пентеста».
Спасибо каждому, кто развивает платформу и комьюнити вместе с нами ❤️
Листай карточки: там можно увидеть, какие уязвимости вошли в топ и сколько за них выплатили.
8 194
+5
Привет, не могу щас разговаривать, подвожу итоги Standoff Hacks 🎹
Финал позади, самое время поделиться результатами.
552 отправленных отчета. Почти 8 млн ₽ выплат исследователям. И все это — результат работы 37 топовых багхантеров, которые исследовали сервисы компаний в рамках Standoff Hacks.
Гонка была мощной: каждый участник стремился показать максимум, а борьба за место в рейтинге не останавливалась.
Финальный топ Standoff Hacks выглядит так:
❤️ prizrak — Best Hacker
❤️ rolegiv
❤️ AlexShev
❤️ adsec2s
❤️ r0hack
🤩 MVP программ:
🔴 prizrak
🔴 rolegiv
🔴 FrakenboK
🔴 b1ackswan
Отдельный респект багхантерам с одними из самых значимых критических находок в рамках Standoff Hacks:
🔶 remembernamer
🔶 checksecb0b
🔶 PapuAs
🔶 kedr
Победителям — заслуженные поздравления, всем участникам — огромное спасибо и уважение за высокий уровень исследований!
Но это еще не все. Если ты тоже хочешь побороться за крупные призовые и испытать себя на прочность в сильном комьюнити, то начинай готовиться к следующему priv8-ивенту.
Конкурс с инвайтами не за горами! Оставайся на связи и до встречи на Standoff Hacks 🤩
8 194
VK меняет подход к багбаунти 🥺
Теперь вознаграждения напрямую зависят от реального влияния уязвимости на безопасность пользователей и приватность их данных. Например, в социальных сетях ВКонтакте Account Takeover теперь будет оцениваться наравне с RCE.
Изменения вступили в силу с 1 июля.
Скоуп категорий тоже расширяется: будут также оцениваться в VK Cloud, VK Workspace и VK HR Tek. Так, за нарушение изоляции между проектами пользователей в VK Cloud можно получить до 1 000 000 ₽.
Изменения будут в программах:
➖ ВКонтакте
➖ Одноклассники
➖ VK Видео
➖ VK Workspace
➖ VK Cloud
➖ VK HR Tek
Самое время заценить обновление и залететь с отчетами 🔥
8 194
+3
Предзаказ GTA VI? А может, лучше обновление на Standoff Bug Bounty 🧠
Разберем, что изменилось.
↗️ Статистика по программам
Теперь для каждой программы доступны ключевые показатели:
➖ среднее время до первого ответа
➖ среднее время до вынесения решения
➖ среднее время до выплаты вознаграждения
Это поможет быстрее ориентироваться в программах и принимать решение, где искать баги. Пока это только первая итерация. Уже в сентябре появится рейтинг программ, а исследователи смогут оценивать программы.
🌟 Лимиты на отправку отчетов
Теперь количество доступных отчетов в день зависит от качества твоих предыдущих отчетов. На старте новым пользователям доступно до 30 отчетов в день. Дальше все зависит от того, насколько полезны твои репорты:
➖ качество отчетов снижается — окно отправки становится меньше
➖ отчеты содержательные — лимит постепенно увеличивается
📌 Такой подход поможет быстрее обрабатывать действительно ценные отчеты и сделает работу платформы комфортнее как для исследователей, так и для команд триажа.
8 194
+9
Записи со Standoff Talks — 2026 уже ждут тебя 🔥
Мы опубликовали все выступления на YouTube, Rutube и в VK Видео.
Выбирай удобную площадку и погружайся в море контента от топовых экспертов индустрии. А если хочется еще больше деталей — на сайте уже доступны презентации докладов.
И фотки к этому посту мы прикрепили не просто так — фотоотчет с юбилейной кибербитвы Standoff тоже доступен. Ищи себя, вспоминай лучшие моменты или просто посмотри, как это было, чтобы в следующий раз точно оказаться в кадре 🙂
8 194
Ломаем отрасль с отборочных Standoff 17 вместе с капитаном команды Kibers 🤟
Да, это новый райтап — и он реально полезный, если вы хотите начать свой путь на Standoff Hackbase.
После того как все прочитаете и заберете кучу полезных лайфхаков — бегите пробовать свои силы в этом же сегменте на Standoff Hackbase (и да, «бегите» не шутка, он будет доступен только до 11 июля).
Так что план на сегодня:
райтап читат отрасль ломат скилл качат дальше ломат 💪Что вообще было. На отборочных мы выкатили на растерзание комбинат «МеталлиКО». Внутри были заложены самые известные хакерские атаки в истории металлургической отрасли виртуального Государства F — от запуска шифровальщика до каскадного простоя производства. На финальный результат влияли два критерия: количество баллов и время, затраченное на взлом. По итогам отборочных команда Kibers заняла третье место. И вот о том, как им это удалось — в подробном райтапе для спецвыпуска Standoff в журнале «Хакер» рассказал Евгений Кабаргин (kiberjen), капитан команды. Спасибо ребятам за такой подробный материал — реально хороший гайд для тех, кто только погружается 😎
8 194
Пополнение на Standoff Hackbase 🔥
Кибербитва закончилась, но расслабляться еще рано: на полигоне тебя ждут две новые Standalone-тачки — они запустятся сегодня в 18:00 (мск) и будут в сезоне.
🤩 tickytask.standalone.stf
По информации из инсайдерских источников, металлургическая компания MetalliKO продолжает работу над новым секретным сплавом, который, по заявлениям доверенного информатора, полностью заменит привычный нам металл в строительстве. На черном рынке в дарквебе уже предлагают более двух миллионов за формулу, но еще никому не удалось ее раздобыть.🤩 hospital.standalone.stf
В последние 48 часов клиника hospital.standalone.stf столкнулась с инцидентом: в сеть утекла ее база данных. Почти сразу после этого служба контроля качества заметила всплеск активности в медицинской системе: от имени врачей начали массово оформляться рецепты на препараты, которые отпускаются только по строгому назначению. Параллельно зафиксирована серия заказов по рецептам, выданным врачами клиники. Проверка показала: рецепты действительно проходят валидацию как корректные, потому что формально выписаны врачами, но часть из них не соответствует реальным назначениям и не привязана к фактическим визитам пациентов.Пока одни таски приходят в сезон, другие из него уходят — в этот раз прощаемся с Ftender и Messenger. Они будут доступны для решения вне сезона. Заходи на Standoff Hackbase, чтобы прокачать навыки еще больше 😏 Ссылками поделимся в комментариях, как тачки будут готовы к твоим атакам
8 194
Где кибериспытания от Т-Банка, там и 50 миллионов 🥂
Перед тобой уникальная возможность проверить, сможешь ли ты повлиять на устойчивость бизнес-процессов одного из крупнейших российских банков и получить вознаграждение до 12 млн рублей за реализацию одного недопустимого события!
Рассказываем, как участвовать:
🟡 Подай заявку
🟡 Получи приглашение и доступ к программе
🟡 Продемонстрируй реализацию недопустимого события
Кстати, кибериспытания пройдут на Standoff Bug Bounty. И мы подготовили для участников специальные ачивки, которые останутся в твоем профиле на платформе.
Не откладывай возможность принять участие и регистрируйся уже сейчас ⏳
8 194
Программа «Точка Банка» теперь доступна всем исследователям 🔎
Что можно изучать:
▫️ tochka.com — основной сайт
▫️ allo.tochka.com — Справочная
▫️ shop.tochka.com — Универмаг
▫️ *.tochka-tech.com — технические сервисы
💸 За найденные баги можно получить до 450 000 рублей.
Расставь точки над уязвимостями и забирай баунти в программе ⬅️
