Если ты давно засматриваешься на багбаунти, то этот пост для тебя 🖥

Bagley, топ-1 первого сезона Standoff Hackbase, участник кибербитв Standoff, ментор красных команд и просто крутой чел, поделился шаблоном своей базы знаний о ББ, который поможет тебе систематизировать свой опыт 😉

Крутые и полезные материалы ждут тебя в комментариях. Переходи, обменивайся мыслями с комьюнити — сделаем охоту на баги эффективнее ⤵️

43 миллионера-багхантера на платформе Standoff Bug Bounty 🤵

Заинтригованы? А теперь давайте вместе подведем итоги работы Standoff Bug Bounty за 2025 год.

📈 В прошлом году платформа показала рост по всем показателям:

🔘 Было запущено 233 программы — в 2,2 раза больше, чем годом ранее. Рынок багбаунти продолжает расти, а к поиску уязвимостей все активнее подключаются не только онлайн-сервисы, но и оффлайн-бизнес, ИТ-вендоры и государственные организации.

🔘 Хакеры сдали 7870 отчетов, из которых 2909 были приняты — это +34% к прошлому году. Больше всего активности традиционно пришлось на программы финансовых сервисов.

🔘 2025 год запомнился и новыми рекордами:
➡️ максимальная выплата составила 4 970 800 ₽, а средняя награда выросла на 12% и достигла 65 416 ₽.

🔘 Уязвимости контроля доступа по-прежнему в фокусе. В 2025 году 58% уязвимостей высокого и критического уровня опасности относились именно к этому классу. Он остается самым актуальным за все время работы платформы.

🔘 За год через платформу выплачено 160 924 226 ₽ — это +49% по сравнению с 2024 годом.

🔘Кроме того, мы не только подвели итоги.
➡️ В этом году команда Standoff Bug Bounty провела полноценное исследование рынка багбаунти: мы разобрали ключевые тренды, мотивацию компаний и то, какие программы действительно привлекают хакеров.

Но главным достижением за все годы работы платформы остаетесь вы, комьюнити. Спасибо за ваш вклад!

А подробнее про итоги работы Standoff Bug Bounty в 2025 году читайте в нашем большом исследовании.

Финальный отсчет до определения Bitrix Pwn Master ⏰

До 31 января — последний шанс ворваться в конкурс. Условия крутые: нашел critical- или high-уязвимость в рамках программы Bitrix — получаешь x2 к стандартной выплате по подтвержденному отчету. А авторы лучших отчетов получат призы на офлайн-ивенте.

📌 Важно: в отчете должно быть слово КОНКУРС, иначе магия не сработает.

Сейчас в топе — antart. Но как показывает практика, финальные дни любят сюрпризы 👀

А уже 19 февраля собираемся в офисе Positive Technologies: подведем итоги, наградим победителей и просто классно проведем время. Никакого официоза: пицца, общение и тот самый момент, когда мы узнаем кто стал Bitrix Pwn Master.

Регистрация уже открыта

🐱 А ты успел расследовать атаку Charming Kitten на марафоне в честь запуска Standoff Defend?

В любом случае уже не успеешь: расследование закрыто. Но зато можно прочитать статью, которую участник марафона Fastyyy написал для Хабра, — чтобы вспомнить, как это было, поискать ошибки и понять, что ты упустил.

«Статья, как я считаю, станет хорошим примером для новичков, которые посмотрят, как выстраивать несложную цепочку атаки. Ведь здесь дан лишь MaxPatrol SIEM и инциденты в нем. Не нужно копаться в обфускациях и всем таком, что может скрыть следы атакующего», — комментирует сам Fastyyy.

Читай и рассказывай: ты бы точно так же расследовал эту атаку или есть другие идеи?

Советы от опытных багхантеров 🔥

Если ты уже ознакомился с тулзами, то самое время брать их на вооружение!

Читаем самые популярные типсы в нашей подборке и увеличиваем с их помощью количество найденных багов ⤵️

🔘0-Click Account Takeover с использованием атаки Punycode IDN Homograph
🔘 Эксплуатация IDOR через Path Traversal
🔘 Простой способ обхода CSRF
🔘 SQLi -> RCE: как раскрутить SQL-инъекцию до RCE
🔘 Скрытые параметры запросов в действии
🔘 HTTP request smuggling: подтверждение баги CL.TE через дифференцированные ответы
🔘 Простые, но действенные методы разведки для багхантера
🔘 Blind XSS в приложениях, разработанных с помощью JavaScript-фреймворков
🔘 Пять простых способов найти баги в веб-приложении с GraphQL
🔘 Гайд по разведке внешнего периметра: от поиска IP-адресов до брутфорса поддоменов
🔘 Эксплуатация XSS без скобок и точек с запятой
🔘 Малоизвестные техники для масштабного перечисления поддоменов
🔘 Статический анализ JavaScript для багхантера
🔘 Как найти баги в API: 12 проверенных способов
🔘 Один из самых простых кейсов при поиске багов в API… который многие почему-то игнорируют
🔘 Эксплуатация уязвимостей в системах электронной почты
🔘 Где все API-эндпоинты? 6 советов для улучшения разведки API
🔘 SQLi -> RCE: как раскрутить SQL-инъекцию до RCE
🔘 LFI с помощью text: в ImageMagick
🔘 Почему в ходе разведке нельзя игнорировать редиректы
🔘 Эксплуатация JSON web tokens: от теории к практике

Ставь ❤️, если подборка была полезной!

👾 Пост подготовлен командой Standoff Bug Bounty | Standoff 365 | Standoff Bug Bounty Tips

Отборочные уже скоро, помнишь? 🧑‍💻

Они пройдут с 28 февраля по 6 марта для красных команд. А чтобы участвовать в них и попасть на кибербитву, успей подать заявку до 10 февраля включительно.

До 20 февраля мы сообщим, какие команды проходят на следующий этап.

Ждем в списке и твою команду! Поторопись: осталось всего 8 дней, чтобы попробовать свои силы.

А ниже читай, какая отрасль будет на отборочных 🔽

Металлургический комбинат «МеталлиКО» готовится отметить юбилей в Государстве F!

От кибербитвы к кибербитве небольшое производство разрасталось, пока не превратилось в комбинат «МеталлиКО». Это Standoff-образующее предприятие полного цикла, выполняющее все виды работ — от добычи руды до изготовления проката.

На территории комбината располагаются рудный двор с роторным экскаватором и конвейером, доменная печь, кислородно-конвертерный цех, машина непрерывного литья заготовок, прокатный стан и склад, с которого металлопрокат транспортируется покупателям.

В честь 10-й кибербитвы Standoff комбинат приглашает участников попробовать повторить самые знаменитые хакерские атаки в истории металлургической отрасли Государства F.

Если есть вопросы — пиши @stfcommunity.

А ты уже заполнил заявку? Или откладываешь на последний день? 🤨

Новый топ на Standoff 365, знаете такого?

Самое время заходить на платформу и обгонять его, пока он не забрал голду все ачивки 😏

Новая программа кибериспытаний от «Инфосистемы Джет»❤️

Теперь ты можешь проверить одну из самых сложных корпоративных инфраструктур на прочность 💻

Ключевые сценарии:

🔵 Захват управления инфраструктурой
— получение прав доменного администратора
— получение доступа к виртуализации
— перехват управления серверами и резервным копированием
🔵Доступ к защищенному
контуру привилегированного доступа
— обход изоляции
— перемещение внутри периметра
— захват управления сетью защищенного контура

Что важно знать:
➖ допускается использование OSINT и социальных векторов
➖ разрешены фишинговые рассылки на @jet.su
➖ допускается применение только недеструктивных методов
➖ клиенты и партнеры — строго вне скоупа

❤️ Вознаграждение — до 1 500 000 ₽.

Выплаты тебя уже ждут, залетай скорее в новую программу, пока НС еще доступна.

А если нашел уязвимость, то сдавай отчет в классическую программу ❤️

🎟️ Разыгрываем билеты на фильм

«Как получить доступ ко всему» — научпоп-кино о том, как люди учатся вскрывать сущность сложных технологических систем. Для нас это попытка простым языком объяснить, чем мы на самом деле занимаемся, и дать почувствовать себя частью чего-то большого. А еще это способ повлиять на то, чтобы никто не смог удерживать нас в технологической изоляции и лишить доступа к знаниям 📔

В кадре — практикующие эксперты из Positive Technologies, Иви, Лаборатории Касперского, Росатома, Elverils, Т-Банка, а также SR Space, Музея криптографии и проекта «Я помню».

Рассказываем, как участвовать в розыгрыше:
🔴 Проверь, сдавал ли ты на Standoff Bug Bounty отчет с реверсом, анализом бинарей, протоколов или логики
🔴 Если да, присылай номер отчета в комментарии
🔴 Готово! Ты стал участником, а мы выберем самые импактные и уникальные репорты и подарим 5 билетов с условием +1

Встретимся здесь:
📍 Кибердом, Москва
🗓 Премьера: 24–27 февраля

На премьере соберутся те, для кого реверс — не просто слово, а стиль жизни и мышления. Вместе с близкими по духу людьми ты сможешь посмотреть фильм и обсудить самые запоминающиеся моменты.

Мы ждем номер твоего отчета — увидимся в кино! 😳

Подводим итоги: Bitrix Pwn Master подошел к концу 🏆

Мы закрыли прием отчетов и совсем скоро узнаем, кто заберет титул Bitrix Pwn Master и какие отчеты оказались лучшими.

Уже 19 февраля встречаемся офлайн, чтобы:
🔵 подвести итоги конкурса
🔵 наградить победителей
🔵 пообщаться с командой и исследователями в неформальной атмосфере

Регистрация открыта — заполняй форму и приходи узнать итоги лично 🤗