Пока что предлагаю прорабатывать список платформ или отдельных программ, с которыми можно будет работать в случае конца H1 для нас.

Есть Яндекс, само собой. У них вообще своя собственная ББ, без партнёрства с какими-то платформами. Сейчас вот получил инсайд от человека оттуда, что они не собираются прекращать работу.

Есть Mail.Ru. С ними непонятно, какой сейчас канал связи. Написал им просто в техподдержку. Если будет ответ – сообщу. Если у кого-то есть контакты в мейле – будет здорово, если вы сможете их подергать, чтобы узнать.

Есть ещё несколько приватных программ российских, они также на H1. Буду пытаться с ними связываться и узнавать, как они будут работать в новых реалиях.

Также нужно узнавать по Китаю. Тоже постараюсь.

Буду держать всех в курсе. Присоединяйтесь, кто хочет, к моим изысканиям)

Ушла выплата. Надеюсь, дойдет.

Кто-нибудь знает, что это?
bugbounty.ru

Пытаюсь с ними связаться, нифига не понятно. Также такие же сайты есть .by и .kz. Сейчас неплохо бы их попытаться расшевелить.

Дошла. Пока платят)

Но больше не будут.

Как я понял, будут закрыты все программы из "РФ, Беларуси и оккупированных регионов Украины".

Так как они тут "во имя добра и чтобы сделать веб безопаснее", они не будут прекращать принимать отчеты от исследователей из санкционных регионов.

Правда платить за них не будут, а будут перечислять все выплаты на благотворительность))))

Перевод вольный, если есть что добавить – жду в комментах.

Источник: https://twitter.com/Hacker0x01/status/1499186877978583040

Есть инсайд, что не все добросовестные западные компании этим довольны.

Так что есть небольшой шанс как минимум получить выплаты за уже отправленные, но пока неоплаченные репорты.

Если будет инфа – обязательно напишу.

Справедливость ради, в твиттере хакеруану тоже насовали.

Зачем мне этот канал

У меня всегда была какая-то тяга к тому, чтобы делится информацией. Некоторые коллеги и близкие люди считают, что у меня это неплохо получается. Что я могу простыми словами рассказывать сложные вещи и находить такое объяснение, которое поймет каждый.

В разное время у меня были мысли о преподавании в школе, создании своих курсов для детей или взрослых, даже обучении людей отдельно из глубинки страны. Потому что у меня есть такая позиция: если найти дело, которое тебе интересно - ты будешь одновременно счастливым и обязательно добьешься определенного материального успеха. А мне кажется, что на данный момент я такое дело для себя нашел. И мне хочется рассказывать о нем другим людям, рассказывать интересно, чтобы они также смогли его полюбить и при этом неплохо зарабатывать. Это первая причина.

Я считаю, что наш век - это время открытой информации. Всему, что я знаю и умею, я обязан открытым отчетам на HackerOne, блогам исследователей из разных стран, видео на YouTube и прочим публичным источникам. Так как у меня есть свой опыт, свои наработки и идеи - хочется также поделиться ими с другими людьми. Плюс, к сожалению, наша страна объективно отстает по количеству и качеству подобного контента. И я подумал, что я могу хотя бы немножко это исправить. Вот и вторая причина.

Если честно, на несколько дней я просто выпал из работы, хотя я не могу себе это позволить, так как есть куча обязательств перед моей семьей. А вот этот пост написать все-таки захотелось. И как-то это настраивает на рабочий лад, не смотря ни на что. Наверное это третья причина - иметь возможность просто иногда выговориться.

Не смотря на то, откуда вы, и как вы сейчас относитесь к России, если вам интересны мои посты, если они мотивируют вас, учат чему-то новому - я этому очень рад.

Сейчас пока проблемы со свободным временем, но буду стараться писать почаще.

Если хотите поддержать мой канал, можете стать его спонсором на
https://boosty.to/skavans (минимальная стоимость подписки - 99р в месяц).

По поводу того, где хантить сейчас.

Яндекс – это прям наше все на данный момент) Я его тут было в черный список заносил, но они в результате ответили и есть надежда, что будут пока работать. У них огромный скоуп и можно там засесть надолго. Да и платят достойно для РУ проги.

Bugcrowd – тут пока непонятно. Я им писал. Насколько понял их позицию – они не собираются просто блочить всех, как H1. Сказали, могут быть проблемы с выплатами в Россию, Беларусь и Украину. Из-за санкций. Попробую туда что-нибудь зарепортить в ближайшее время – отпишусь.

Google, FB – инфы нет, но есть надежда, что они не будут заниматься таким самоуправством и будут строго следовать санкциям. Но сказать сложно. Если есть инфа – делитесь плиз, буду шарить на канале.

Если кто не заметил, все русские проги на H1 на сегодня заблокированы. Они сейчас находятся в поиске альтернативных решений. Так что наверняка будут анонсировать запуск на других площадках или в виде self-hosted решений. Но надо ждать.

Есть еще вот такой список self-hosted программ: https://github.com/projectdiscovery/public-bugbounty-programs/blob/master/chaos-bugbounty-list.json
Наверняка тут тоже можно с кем-то поработать, но это требует изучения.

Если есть еще идеи – делитесь, также буду рад пошарить.

H1 переобулся в воздухе.

Оказывается, их CEO «оговорился». И деньги не будут принудительно направлены на благотворительность, а только с разрешения исследователя.

В комментах он написал, что они надеятся, что потом, когда конфликт закончится, они смогут их выплатить.

Такой цирк конечно.

Появился Sanctions FAQ на H1:
https://www.hackerone.com/sanctions-faq

Тезисно:
- проблемы с выплатами украинским исследователям ошибочны, будут предприниматься попытки все починить;
- выплаты российским и белорусским исследователям временно на паузе "в строгом соответствии с законодательством";
- выплаты будут перенаправлены на благотворительность только в случае прямого указания исследователя (приносим извинения за неточность в прошлых заявлениях).

В принципе ничего нового, но это уже официальная позиция, а не просто твит.

На данный момент выплаты в российские банки отклоняются со статусом rejection_verified.

Есть информация, что выплаты до сих пор можно получать в крипте через Coinbase:
https://news.1rj.ru/str/WebPwnChat/131201

Кто хочет – может попробовать. Для небольших сумм это вполне себе вариант, как мне кажется.

Только нужно учесть, что на данный момент невозможно легально получать оплату криптой в России за свои услуги согласно Закону о Цифровых Финансовых Активах и Цифровой Валюте. Это просто-напросто запрещено.

Однако, сейчас идут обсуждения на этот счет. Возможно, в скором будущем это станет легальным способом получения оплаты.

P.S.: речь о России, в Беларуси это разрешено, насколько я понимаю.

Получил письмо от Bugcrowd.

Говорят, что могут быть проблемы в перечислении платежей в Россию, Украину и Беларусь. Но эмбарго нет (соответственно нет и законного запрета).

Поэтому всем ресерчерам из данных регионов при проблемах с оплатой рекомендуют обращаться на support@bugcrowd.com для помощи.

Звучит неплохо, но как по факту – информации пока нет.

И позиция Intigriti.

Мы не останавливаем работу с российскими исследователями. Так как Swift и Paypal приостановили операции в России и других связанных регионах, мы не можем быть уверены, что платежи дойдут куда надо.

В связи с этим мы приняли решение временно не совершать платежи на аккаунты, с которыми, как нам кажется, могут быть проблемы.

https://kb.intigriti.com/en/articles/6059051-important-information-regarding-intigriti-s-response-to-the-russian-invasion-of-ukraine

Какие новости?

Всем привет! Почти месяц ничего не писал по двум причинам.

Как вы знаете, для меня бб уже давно стало основной работой. Соответственно, после всем известных событий пошел по одному месту мой единственный источник дохода, зато остались обязательства перед семьей, охеренных размеров ипотека и планы на ремонт в ближайшем будущем.

Кстати, наверняка тут есть люди, которым разнообразные бб-платформы остались должны денег. I know that feel bros.

H1 торчит мне ни много ни мало $50700 🙂

Что, конечно же, очень неприятно, но, слава богу, не смертельно. Я решил, что просто отчаяться и все бросить – не самый плодотворный вариант, и стал искать другие.

Так что первая причина в том, что я, собственно, изучал варианты для продолжения работы в багбаунти. Их не так уж и много:
1) перейти на российские платформы;
2) каким-то образом продолжать работать на забугорных площадках.

По первому пункту все достаточно просто. Есть бб у Яндекса, СКБ Контур, можно найти еще какие-то self-hosted проги. Плюс, ожидается запуск как минимум двух агрегаторов – bugbounty.ru и площадки от Positive Technologies. По площадкам пока достоверной инфы нет, будем ждать открытия. По self-hosted решениям основной для меня минус – это достаточно маленькие суммы выплат. В общем, я решил все же попробовать возобновить работу за USD 🙂

Так как переезжать из России я совершенно не собираюсь, единственным вменяемым вариантом для меня пока что кажется открытие компании в неподсанкционной стране и работа от ее имени с зарубежными площадками. Я нашел команду юристов, которые помогают с регистрацией ООО, сейчас процесс уже запущен. В ближайшее время надеюсь посетить эту страну и открыть там счет в банке для приема выплат. Дальше создам новые аккаунты на бб-платформах уже от имени этой компании и надеюсь, что получится продолжить работу таким образом.

Новый аккаунт, равно как и компанию публично раскрывать не буду, так как, к сожалению, есть много недоброжелателей, которые будут рады проинформировать площадки. Но расскажу обязательно, все ли сработало как надо, и смогу проконсультировать, если кто-то захочет повторить мой опыт.

Вторая причина, по которой долго не писал – не понимаю теперь, насколько актуальна тема бб. И уж тем более в плане фуллтайма. Это и раньше был, скажем так, очень скромный рынок в России, а теперь чувствую, что и от него останется процентов 10.

Мне бы хотелось и дальше продолжать писать, но не понимаю, нужно ли оно кому-то. Если вот лично тебе это интересно и все еще нужно по каким-то причинам – поставь лайк этому посту.

Недооцененное: ClickJacking

Многие программы безусловно не принимают кликджекинг – просто помещают его целиком в Out Of Scope.

Вообще достаточно глупо при определении суммы выплаты или in-scope/out-of-scope оперировать типом уязвимости, а не ее импактом, мне всегда казалось это очень странным.

Например, в скоупе может быть reflected XSS со сложным user interaction на домене, на котором лежит статическая страница без каких-либо пользовательских данных. И в то же время, clickjacking, позволяющий, например, в один клик удалять объекты из польховательского аккаунта (или весь аккаунт целиком) будет вне скоупа. При этом, очевидно, что первая уязвимость не имеет реального импакта, в отличие от второй.

А видели ли вы когда-нибудь clickjacking, который никак не влияет на целостность информации, а влияет на ее конфиденциальность? Кажется странным, да?

Я вот как-то раз нашел у NewRelic clickjacking на странице, на которой был размещен пользовательский API-ключ, и придумал такой забавный вариант эксплуатации (см. видео).

Если обобщить, можно таким образом похищать у пользователя чувствительные данные. В моем примере я создал вредоносную страницу регистрации на некотором ресурсе, и на последнем шаге выдаю фрейм с ключом пользователя в NewRelic за ключ от этого сайта и прошу скопировать его в текстовое поле, чтобы подтвердить, что ключ сохранен в надежном месте (так как он, типа, отображается только один раз).

Еще, как вариант, можно такие токены представлять пользователю в виде капчи, которую нужно ввести на вредоносном сайте. Я думаю, что можно даже навернуть поверх айфрейма с токеном какие-нибудь CSS-искажения, чтобы было совсем правдоподобно.

P.S.: реальный импакт конечно невысок, но я что-то очень люблю такие нестандартные PoC и техники эксплуатации придумывать 🙂

Чуть не забыл: если есть желание – можете поддержать мой канал на Boosty (любая сумма от 99р):

https://boosty.to/skavans

Где искать баги этим летом

1) Если кто-то еще не видел – The Standoff на днях запустили первую российскую багбаунти платформу:
https://bugbounty.standoff365.com/#programs

Пока что доступны 2 программы: Азбука Вкуса и Positive Technologies.

Азбука платит немного (хотя и на H1 они платили примерно такие же суммы, если мне не изменяет память, может чуть больше). Но хочется все равно похвалить их за то, что не забили на бб, хотя казалось бы, что среди российских компаний они точно не на первом месте среди тех, кому полезно было бы запуститься.

Positive Technologies впервые вышли на этот рынок, насколько мне известно. По выплатам – примерно в 2 раза меньше Яндекса, что неплохо. Особенно в нынышних условиях отсутствия рынка и конкуренции. Пока не очень понятно, насколько у них широкий скоуп в плане принимаемых уязвимостей. Гарантируется вознаграждение только за 5 типов не самых распространенных багов, остальные «могут быть оплачены по решению комиссии, в зависимости от их критичности, но оплата не гарантируется». Как будет появляться информация – буду делиться, а также жду обсуждения в комментах.

2) Как-то раньше не обращал внимания, но есть еще такая (достаточно известная в своих кругах) платформа, как Immunefi:
https://immunefi.com/explore/

Она посвещена криптовалютным проектам, оплата также идет исключительно в криптовалюте. При этом, многие программы там не требуют прохождения процедуры KYC, а значит, никакой дополнительной информации об исследователях они не запрашивают. Просто присылаете адрес кошелька (не обязательно на бирже, подойдет и некастодиальный!) и после подтверждения баги вам будет отправлено вознаграждение.

Что меня удивило, что там многие проекты добавили в скоуп web-уязвимости, а стало быть можно искать всем нам знакомые уязвимости. Причем, выплаты в некоторых программах весьма и весьма хорошие.

Единственная проблема, что в РФ запрещено принимать оплату за услуги в крипте. Но для тех моих читателей, кто живет в стране, где это разрешено – советую попробовать.

P.S.: ну Яндекс тоже пока никуда не делся, само собой.