Bounty On Coffee

Один из «отцов» русскоязычного Bug Bounty залетел на подкаст и поделился своим опытом, подходами и стратегиями поиска уязвимостей. Поговорили про выбор целей, участие в hacking events, состояние bug bounty в СНГ и то, что на самом деле помогает находить хорошие баги годами, а не случайно время от времени. Уверен, что выпуск будет интересен и полезен как новичкам, так и опытным исследователям. Приятного просмотра 😉

По выплатам

Альфа забыл жи мыло положить в мерч 😁

🐞 Мы официально подвели итоги, вот наш топ-10:  1️⃣thxStuck 2️⃣r0hack 3️⃣adsec2s  4️⃣rolegiv  5️⃣DiZZxExZuperi 6️⃣ghosthacker 7️⃣godfuzz3r 8️⃣zero-0x00 9️⃣K1nder 1️⃣0️⃣savAnna Поздравляем ребят и отправляемся все вместе отмечать успехи нашего сообщества! Спасибо всем участникам, друзьям сообщества и вендорам за ивент. Фото и видео с мероприятия выложим чуть позже. Stay tuned 💙

Если недостатка нет, в чем проблема раскрыть ? Репорт же отклонен

@standoff_365 что скажете ?

Positive Technologies · Standoff365 👎 Not recommend · @d3n13d «Пофиксили уязвимость, чтобы не платить баунти? Три месяца ждал разбор простейшего репорта по отравлению кеша (взяли в работу через пару дней, но потом ушли в игнор, допинал через поддержку с 3 раза). По итогу уязвимость они пофиксили (есть два скринкаста в репорте - видно, что поведение изменилось; есть скринкаст, что раньше стреляло), а в репорте ответили, что ничего не воспроизводится, и закинули его в "отклонён" как мусор. На вопрос из разряда "что за прикол, вы пофиксили, вот пруфы" триажер ответил, что "Никакие дополнительные изменения не вносились в работу сайта компании.". Раскрыть отчёт тоже не дали - "Мы не даем согласие на раскрытие деталей данного отчета.". Не рекомендую эту программу и компанию.» Read full review on HackAdvisor →

В самом первом Hacks (не прозвали 😒) и в Ahmedabad не участвовал https://hacks.standoff365.com/

Финал Standoff Hacks. Шанхай, день второй 🇨🇳 GG. Доиграли до конца. Топ-3: 🥇 r0hack — MVP Standoff Hacks 🥈 freeman 🥉 BlackFan MVP по программам: 🏆 BlackFan — Т-Банк 🏆 brain — VK 🏆 hussein98d — «Инфосистемы Джет» 🏆 Antart — Битрикс24 30 топовых багхантеров 350+ отчетов 23+ млн ₽ баунти Две недели интенсивной работы: сотни отчетов, плотный триаж и реальные результаты. Спасибо всем исследователям, кто держал темп до финала. Это и есть настоящий Hacks. Новый Standoff Hacks через… скоро 👀

Выплаты вроде рекордные в этот раз ~ 25 🍋

Hacks взят! Standoff Hacks Hanoi (2024) - 2nd Standoff Hacks Shanghai (2026) - 1st

Удобно нынче стало, все что не нравилось, но нужно было делать, теперь можно передать помощнику Жан Клоду Ван Даму

Кто-то скажет: "Ну у VM6 у себя в стране серверы, а в примере выше голандский" С такими же параметрами, как у VM6, но сервер в Москве у TimeWeb тоже сильно дороже

Слева VM6 - 1600 руб в месяц Справа TimeWeb - 7500 руб в месяц

Чтобы вы понимали, насколько дешево у Timeweb Вот тут у - https://www.vm6.co.uk/uk-vps-hosting - 1 CPU в 4.3Гц с бустом до 5.7 - RAM идентичный - 10 Гбит/c - 25 GB storage И вот это, дороже в 13 раз. УЖАС!

У TimeWeb ценники на сервера стали невероятно дешевыми и это еще и на целые 3 герцовые процы.

А если ФИО+номер телефона по целочисленному идентификатору ?

А если номер телефона ?

По логину можно получить почту пользователя, логин легко перебираемый. Это баг ? Здесь есть вообще импакт ?

IDOR'ы в OZON часто непредсказуемы. Думешь, что будет 100к - платят 400к. Думаешь будет 500к - платят 200к Прозрачность оценки... Нужны ли какие-то объяснения от вендора почему именно так ... ?