То бишь можно работать как самозанятый или ИП со сниженной налоговой ставкой, что прикольно

Сегодня откроют собственную, насколько я понял. И скоро ещё один вендор как минимум (Авито как раз?)

Кто вдруг пропустил(как я), на Standoff365 вышла новая программа:

https://bugbounty.standoff365.com/programs/rambler_and_co

Cкоуп:

www.rambler.ru
*.kassa.rambler.ru
*.mail.rambler.ru
www.afisha.ru
www.gazeta.ru
lenta.ru
www.championat.com
*.id.rambler.ru
*.news.rambler.ru
vp.rambler.ru

Деньхи плотят.

#bb

⚡️ Максут Шадаев: «Мы планируем объявить и провести до конца года bug bounty по Госуслугам».

@mintsifry #ITGovernmentDay #TAdviser

Пентест vs Red Team vs Bug Bounty

Global Digital Space приглашает на прямой эфир, посвященный методам анализа защищенности.

Тип мероприятия: онлайн
Время: начало в 11:00 МСК
дата проведения: 18.11.22

👉Регистрация, участие бесплатное!

Гости студии в прямом эфире обсудят вопросы:

- Пентест, Red Team или Bug Bounty — разберем основные отличия этих методов.
- Сильные и слабые стороны у каждого вида анализа защищенности.
- Что может быть причиной для проведения анализа защищенности ресурсов компании?
- Как часто и какой инструмент надо применять?
- Как компаниям-подрядчикам подтвердить свою экспертность, не разглашая информацию о клиентах?
- Какие направления программ анализа защищенности будут развиваться и набирать популярность в России?

👉Оставляйте вопросы по теме эфира!

Понадобилось тут поискать обход CSP для XSS, когда есть разрешенный список источников типа google.com, google-analytics.com и т.д.

Нашел 2 полезные репы на эту тему:

https://github.com/google/csp-evaluator/tree/master/allowlist_bypasses

https://github.com/zigoo0/JSONBee

Там не все рабочее, но я в результате свою CSP поломал 🙂

P.S.: а тут парни показывают, как захостить свой JS на гугле, например, для той же цели:
https://blog.deteact.com/ru/csp-bypass/

Минцифры запустило бб по своим сервисам. Платформу можно выбрать на свой вкус :)

ЕСИА
https://bugbounty.standoff365.com/programs/esia (standoff)
https://app.bugbounty.bi.zone/companies/fgis-esia/main (BI.ZONE)

Госуслуги
https://bugbounty.standoff365.com/programs/gosuslugi (standoff)
https://app.bugbounty.bi.zone/companies/fgis-epgu/main (BI.ZONE)

Хочется от лица комьюнити выразить респект за такой смелый шаг, достойно уважения!

Это хорошие, удобные сервисы, будет здорово помочь сделать их безопаснее.

P.S.: выплаты тоже вполне приличные.

Positive Hack Days 12 пройдет 19–20 мая в Москве! 🎉

PHDays — это культовый форум по кибербезопасности. В этом году он станет еще более открытым и масштабным.

🎙 Уже открыт прием заявок на выступление!

По каким направлениям мы ждем заявок:

🔸противодействие хакерам и реагирование на инциденты,
🔸новые техники и векторы атак, эксплуатация уязвимостей,
🔸разработка и защита приложений,
🔸технологии и безопасность ML в ИБ.

Посмотреть все направления и предложить свой доклад можно до 25 марта на сайте

Багхантеры, есть новости! СберМаркет запускает Bug Bounty на BiZone

Баги нужно будет искать на сайте https://sbermarket.ru, в api.sbermarket.ru, доменах и всех поддоменах .sbermarket.ru и в мобильном приложении СберМаркета на Android и iOS. Наибольший интерес представляют критические уязвимости на стороне сервера.

Вилки вознаграждений:
5-10к за уязвимость уровня low
15-50к за уязвимость уровня medium
50-120к за уязвимость уровня high
120-250к за уязвимость уровня critical

Подробнее о том, какие баги принимаются и как определяется уровень — по ссылке. Можно налетать: https://bit.ly/sbermarket_bug_bounty_1

РАЗЫГРЫВАЮ БИЛЕТ OFFZONE

Вот вы про меня уже забыли, наверное, а я к вам сегодня с подарком)

Мне организаторы @offzone_moscow подогнали бесплатный проход на конфу, хочу его разыграть.

Конференция пройдет 24-25 августа в Москве. Просьба участвовать только тех, кто хочет и сможет пойти в случае выигрыша.

Чтобы принять участие, вам надо просто написать коммент о том, какой доклад/ивент вам интересно посетить на этой конфе, и почему.

Время есть до 23:59 пятницы 18.08 включительно.

В выходные я возьму все ваши комментарии, уберу оттуда:
а) множественные комменты от одного человека, оставлю только первый;
б) комментарии, в которых нет ответа на мой вопрос;
в) комменты, написанные после полуночи с пятницы на субботу.

Далее я скину в чат номер розыгрыша с randomresult.com, который откроется в полночь с воскресенья на понедельник.

Удачи ;)

В формулу я не очень смог, поэтому поменял условия на розыгрыш через randomresult.com 😄

Пока что вероятность у каждого участника выиграть билет — аж 11%, что неприлично много! Кто ещё хочет бесплатно попасть на OFFZONE — пишите коммент и тоже получите шанс ;)

Как один мем (возможно) изменил мою жизнь

Первые полгода с того момента, как всех нас выперли с H1 и прочих забугорных площадок, для меня прошли в поиске способов обхода ограничений, чтобы продолжить заниматься бб за хорошие деньги.

Я открыл в Армении компанию, чтобы работать от ее имени, и даже сдал один баг... Но при попытке вывода денег на юрлицо H1 запрашивает налоговую форму, в которой нужно указать бенефициаров юрлица и их гражданства) Плюс, обратил внимание, что в инвайтах, которые присылали моему, уже новому, аккаунту, все так же стояла пометка о том, что резидентам РФ и лицам, находящимся в РФ платить они не будут.

Потом уже, обсуждая это все с коллегами, у меня сложилось устойчивое впечатление, что H1 специально мониторит, чтобы не дай бог ни один ру-хакер не получил ни копеечки. В общем, последние остатки какого-либо уважения и восхищения этой компанией у меня улетучились, и остались только безразличие напополам с отвращением.

Но это все присказка, еще не сказка.

В общем, я немножко посматривал на зарождающийся еще рынок РУ-бб, устроился на интересную работу, и все было неплохо в целом, но в плане бб – никак. Я, откровенно говоря, скучал по нему, но не видел для себя достойных вариантов.

И тут, читая как-то @webpwn чатик, наткнулся я на этот самый мем) И очень уж мне стало интересно: "Да кто такой этот ваш web3?!" Ну тупо заинтересовало, что же это за $1M, если честно, потому что мой уровень понимания веб3 был на абсолютном нуле. Но я где-то слышал, что крипта – это про биткойн. Короче, начал понемногу читать и разбираться.

В итоге, после нескольких месяцев изучения этой сферы, я осознал вот что:

1. Для меня ломание web3 оказалось намного интереснее стандартного бб. Все дело в том, что для поиска багов в смарт-контрактах нужно уметь читать код и думать. И все. Я, знаете ли, такой ретроград и велосипедостроитель в плане как ИБ, так и кодинга. Не люблю использовать готовые решения, эксплуатировать CVE, пользоваться тулзами, отслеживать новые типы атак. А что я люблю - это придумывать что-то свое, расковыривать в глубину, находить нестандартные подходы. Web3 - это как раз про это. Там есть открытые исходники с одной стороны, и исследователь - с другой. И больше ничего не нужно.

2. Обычный бб - это имхо больше имиджевая история для компании. Надо очень постараться, чтобы вспомнить случаи, когда эксплуатация блэками бага действительно серьезно вредили какой-то компании. Поэтому ценность бб заключается лишь в демонстрации ответственного поведения, а не в том, чтобы действительно защищать продукт от экзистенциальных угроз. Это не плохо и не хорошо, а просто такой факт, который я осознал однажды. Но в web3 все по-другому. Там почти любой medium+ баг - это потеря живых денег или другого имущества, которые очень часто приводят и к полному банкротству компаний, включая потерю клиентских денег. Поэтому ощущение ценности собственной работы в разы выше.

3. Есть множество компаний (хотя и не все), бб-политика которых предполагает нулевое знание персональных данных исследователя. Человек отправляет баг и прикладывает адрес кошелька. Если баг валидный - на этот кошелек переводится баунти. Никто не знает, из какой он страны, какой национальности, чем он (не)известен, что плохого и хорошего он сделал в жизни. Для меня именно такой должна быть бб (как и любая работа, вообще говоря). Потому что это про труд и вознаграждение, а не про политику, бюрократию и субъективные отношения.

Web3 бб - это сложно, но захватывающе и вознаграждающе. Минусов, правда, тоже прилично. Еще расскажу попозже.

Осталось 15 минут для того, чтобы поучаствовать в розыгрыше билета на OFFZONE

https://www.randomresult.com/ticket.php?t=3458349S4TRKFEVFP

Итак, тут появится результат розыгрыша.
Решил не ждеть до понедельника, а открыть через полчаса. Так что в 00.30 узнаем, кому отдам билет)