uz
Feedback
Bounty On Coffee

Bounty On Coffee

Kanalga Telegram’da o‘tish

Заметки по пентестам, bugbounty, разработке, менеджменту... ЛС: @r0hack Весь контент в канале исключительно с образовательной целью!

Ko'proq ko'rsatish
4 666
Obunachilar
+524 soatlar
+57 kunlar
+3230 kunlar
Postlar arxiv
Repost from InfoSec VK Hub
🤩 Максимальные выплаты — за реальную защищенность пользователей Фокусируемся на том, что действительно важно — на приватност
🤩 Максимальные выплаты — за реальную защищенность пользователей Фокусируемся на том, что действительно важно — на приватности и безопасности пользовательских данных. 🔹С 1 июля мы меняем правила программы багбаунти: теперь не важно, какая именно бага найдена, важно — какой импакт она несет. Любые узявимости, которые позволяют получить доступ к данным пользователей будут оцениваться по новой шкале. 🔹 Например, в наших социальных сетях Account Takeover теперь будет оцениваться наравне с RCE. Также оцениваться будут репорты не только в наших социальных сервисах, но и в VK Cloud, VK Workspace и VK HR Tek. 🔹 За нарушение изоляции между проектами пользователей в VK Cloud можно получить до 1 000 000 ₽. В каких программах изменения? 🔹ВКонтакте 🔹Одноклассники 🔹VK Видео 🔹VK Workspace 🔹VK Cloud 🔹VK HR Tek Все существующие категории остаются в силе — мы дополняем программы новыми сценариями, чтобы сделать акцент на защите пользовательских данных. Спасибо каждому, кто помогает делать наши продукты безопаснее 💙 ⭐ Не забывайте и про Bounty Pass: с каждым новым оплачиваемым отчетом можно получить до +5% к каждому следующему вознаграждению. VK Security | Буст этому каналу! #bugbounty #bountypass

А вот так вот уже хорошо

Несколько дней назад сдавал довольно критический недостаток, в ходе эксплуатации с моей стороны был деструктив, из-за чего од
Несколько дней назад сдавал довольно критический недостаток, в ходе эксплуатации с моей стороны был деструктив, из-за чего один из сервисов прилёг. После нескольких дней изучения инцидента было вынесено решение ничего не выплачивать мне. По правилам багбаунти вендор имеет на это полное право! Но правильно ли так делать сразу при первом таком косяке? Учитывая, что за последние пару лет приносил много критов и хаев и сделал [продукт] безопаснее. В любом случае решать, конечно, вендору. Но почему я решил про это написать — не для того, чтобы пожаловаться, а потому что вспомнил историю из 2020 года на HackerOne. Это было с Readme (на тот момент новая программа), где у меня почти не было багов. И при таком косяке мне просто сделали предупреждение. Ограничивать выплаты не стали. Но я тогда только начинал, и вот очередной косяк. У меня на тот момент уже было 3 крита сданных, которые еще были в работе. Что сделал вендор, можно увидеть на скрине. Если в общем, то сказали: предупреждали, и при втором косяке уже должны забанить. И при этом они мне выплатили по всем 3 критам по максимальной границе.

Один из «отцов» русскоязычного Bug Bounty залетел на подкаст и поделился своим опытом, подходами и стратегиями поиска уязвимостей. Поговорили про выбор целей, участие в hacking events, состояние bug bounty в СНГ и то, что на самом деле помогает находить хорошие баги годами, а не случайно время от времени. Уверен, что выпуск будет интересен и полезен как новичкам, так и опытным исследователям. Приятного просмотра 😉

По выплатам
По выплатам

Альфа забыл жи мыло положить в мерч 😁
Альфа забыл жи мыло положить в мерч 😁

Repost from BI.ZONE Bug Bounty
🐞 Мы официально подвели итоги, вот наш топ-10: 1️⃣thxStuck 2️⃣r0hack 3️⃣adsec2s 4️⃣rolegiv 5️⃣DiZZxExZuperi 6️⃣ghosthacker 7
+3
🐞 Мы официально подвели итоги, вот наш топ-10:  1️⃣thxStuck 2️⃣r0hack 3️⃣adsec2s  4️⃣rolegiv  5️⃣DiZZxExZuperi 6️⃣ghosthacker 7️⃣godfuzz3r 8️⃣zero-0x00 9️⃣K1nder 1️⃣0️⃣savAnna Поздравляем ребят и отправляемся все вместе отмечать успехи нашего сообщества! Спасибо всем участникам, друзьям сообщества и вендорам за ивент. Фото и видео с мероприятия выложим чуть позже. Stay tuned 💙

Если недостатка нет, в чем проблема раскрыть ? Репорт же отклонен

@standoff_365 что скажете ?

Repost from N/a
Positive Technologies · Standoff365 👎 Not recommend · @d3n13d «Пофиксили уязвимость, чтобы не платить баунти? Три месяца ждал разбор простейшего репорта по отравлению кеша (взяли в работу через пару дней, но потом ушли в игнор, допинал через поддержку с 3 раза). По итогу уязвимость они пофиксили (есть два скринкаста в репорте - видно, что поведение изменилось; есть скринкаст, что раньше стреляло), а в репорте ответили, что ничего не воспроизводится, и закинули его в "отклонён" как мусор. На вопрос из разряда "что за прикол, вы пофиксили, вот пруфы" триажер ответил, что "Никакие дополнительные изменения не вносились в работу сайта компании.". Раскрыть отчёт тоже не дали - "Мы не даем согласие на раскрытие деталей данного отчета.". Не рекомендую эту программу и компанию.» Read full review on HackAdvisor →

В самом первом Hacks (не прозвали 😒) и в Ahmedabad не участвовал https://hacks.standoff365.com/
В самом первом Hacks (не прозвали 😒) и в Ahmedabad не участвовал https://hacks.standoff365.com/

Repost from Standoff 365
Финал Standoff Hacks. Шанхай, день второй 🇨🇳 GG. Доиграли до конца. Топ-3: 🥇 r0hack — MVP Standoff Hacks 🥈 freeman 🥉 Bla
+4
Финал Standoff Hacks. Шанхай, день второй 🇨🇳 GG. Доиграли до конца. Топ-3: 🥇 r0hack — MVP Standoff Hacks 🥈 freeman 🥉 BlackFan MVP по программам: 🏆 BlackFan — Т-Банк 🏆 brain — VK 🏆 hussein98d — «Инфосистемы Джет» 🏆 Antart — Битрикс24 30 топовых багхантеров 350+ отчетов 23+ млн ₽ баунти Две недели интенсивной работы: сотни отчетов, плотный триаж и реальные результаты. Спасибо всем исследователям, кто держал темп до финала. Это и есть настоящий Hacks. Новый Standoff Hacks через… скоро 👀

Выплаты вроде рекордные в этот раз ~ 25 🍋

Hacks взят! Standoff Hacks Hanoi (2024) - 2nd Standoff Hacks Shanghai (2026) - 1st
Hacks взят! Standoff Hacks Hanoi (2024) - 2nd Standoff Hacks Shanghai (2026) - 1st

Удобно нынче стало, все что не нравилось, но нужно было делать, теперь можно передать помощнику Жан Клоду Ван Даму
Удобно нынче стало, все что не нравилось, но нужно было делать, теперь можно передать помощнику Жан Клоду Ван Даму

Кто-то скажет: "Ну у VM6 у себя в стране серверы, а в примере выше голандский" С такими же параметрами, как у VM6, но сервер
Кто-то скажет: "Ну у VM6 у себя в стране серверы, а в примере выше голандский" С такими же параметрами, как у VM6, но сервер в Москве у TimeWeb тоже сильно дороже

Слева VM6 - 1600 руб в месяц Справа TimeWeb - 7500 руб в месяц
Слева VM6 - 1600 руб в месяц Справа TimeWeb - 7500 руб в месяц

Чтобы вы понимали, насколько дешево у Timeweb Вот тут у - https://www.vm6.co.uk/uk-vps-hosting - 1 CPU в 4.3Гц с бустом до 5.
Чтобы вы понимали, насколько дешево у Timeweb Вот тут у - https://www.vm6.co.uk/uk-vps-hosting - 1 CPU в 4.3Гц с бустом до 5.7 - RAM идентичный - 10 Гбит/c - 25 GB storage И вот это, дороже в 13 раз. УЖАС!

У TimeWeb ценники на сервера стали невероятно дешевыми и это еще и на целые 3 герцовые процы.

А если ФИО+номер телефона по целочисленному идентификатору ?