На Standoff 365 Bug Bounty появляется все больше программ. Как начать багхантить и зарабатывать деньги?
👆Начните с правильного ПО. Например, с BurpSuite. Многие багхантеры считают его одним из лучших инструментов для тестирования веб-приложений на безопасность.
Вот лишь немногое из того, что он включает:
* Proxy — перехватывающий веб-прокси, который служит посредником между браузером и веб-приложением.
* Intruder — инструмент, который может использоваться исследователем для проведения автоматизированных и настраиваемых атак.
* Repeater — инструмент для ручной обработки и повторной отправки запросов, а также анализа ответов от приложения.
* Decoder — инструмент для выполнения ручного или интеллектуального кодирования и декодирования данных приложения.
* Extender — инструмент, позволяющий исследователю загружать свои и сторонние расширения Burp.
😎 Больше о том, как начать заниматься багхантингом веб-приложений — в статье на Хабре.
👆Начните с правильного ПО. Например, с BurpSuite. Многие багхантеры считают его одним из лучших инструментов для тестирования веб-приложений на безопасность.
Вот лишь немногое из того, что он включает:
* Proxy — перехватывающий веб-прокси, который служит посредником между браузером и веб-приложением.
* Intruder — инструмент, который может использоваться исследователем для проведения автоматизированных и настраиваемых атак.
* Repeater — инструмент для ручной обработки и повторной отправки запросов, а также анализа ответов от приложения.
* Decoder — инструмент для выполнения ручного или интеллектуального кодирования и декодирования данных приложения.
* Extender — инструмент, позволяющий исследователю загружать свои и сторонние расширения Burp.
😎 Больше о том, как начать заниматься багхантингом веб-приложений — в статье на Хабре.
👍10👎1🔥1🌚1
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️ Standoff пройдет уже в ноябре
Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.
Что будет
📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.
📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.
📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса.
📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.
Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com
👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!
Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.
Что будет
📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.
📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.
📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса.
📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.
Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com
👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!
🔥17❤6👍1
This media is not supported in your browser
VIEW IN TELEGRAM
☎️ Открыли приём заявок на митап Standoff Talks
22 ноября мы проведём второй митап Standoff Talks для энтузиастов и профессионалов offensive и defensive security. Зовём всех поделиться с сообществом своим опытом, и открываем для вас Call for Papers: cfp.standoff365.com
Тематика докладов не изменилась:
🔹 технические доклады от специалистов в {off,def}ensive security;
🔹 bug bounty находки от хакеров и опыт проведения bb от компаний;
🔹 опыт участия в кибербитве и на онлайн-киберполигоне Standoff 365.
Митап пройдёт в уютном пространстве Grand Ballroom в Москве. Регистрацию слушателей запустим в начале ноября. Ждём ваши мощные доклады 👉 cfp.standoff365.com
Заявки на CFP принимаем до 5 ноября 📥
22 ноября мы проведём второй митап Standoff Talks для энтузиастов и профессионалов offensive и defensive security. Зовём всех поделиться с сообществом своим опытом, и открываем для вас Call for Papers: cfp.standoff365.com
Тематика докладов не изменилась:
🔹 технические доклады от специалистов в {off,def}ensive security;
🔹 bug bounty находки от хакеров и опыт проведения bb от компаний;
🔹 опыт участия в кибербитве и на онлайн-киберполигоне Standoff 365.
Митап пройдёт в уютном пространстве Grand Ballroom в Москве. Регистрацию слушателей запустим в начале ноября. Ждём ваши мощные доклады 👉 cfp.standoff365.com
Заявки на CFP принимаем до 5 ноября 📥
🔥13
⚡️ Три миллиона рублей выплатила VK исследователям безопасности на платформе Standoff 365 Bug Bounty
За три месяца работы VK получила 300 отчетов, более половины сообщений признаны существенными, выявленные на их основе уязвимости устранены.
🔥 Вознаграждение получили более 50 исследователей. Размер выплат составил от 3 до 750 тысяч рублей в зависимости от критичности уязвимости.
На Standoff 365 Bug Bounty размещено 20 сервисов VK, среди которых — ВКонтакте, Одноклассники, Skillbox. Компания планирует увеличить количество проектов на платформе более чем на 20%.
За три месяца работы VK получила 300 отчетов, более половины сообщений признаны существенными, выявленные на их основе уязвимости устранены.
🔥 Вознаграждение получили более 50 исследователей. Размер выплат составил от 3 до 750 тысяч рублей в зависимости от критичности уязвимости.
На Standoff 365 Bug Bounty размещено 20 сервисов VK, среди которых — ВКонтакте, Одноклассники, Skillbox. Компания планирует увеличить количество проектов на платформе более чем на 20%.
🔥15❤1👍1👎1
Forwarded from Standoff 365
👌 Чемпионаты VK и My Target уже на платформе
All Cups — технологическая платформа VK для проведения онлайн-соревнований, чемпионатов и олимпиад.
(кроме партнёрских или делегированных/размещённых на внешних ресурсах)
myTarget — платформа для размещения рекламы в соцсетях ВКонтакте, Одноклассники, и на других проектах компании VK.
(кроме партнёрских или делегированных/размещённых на внешних ресурсах)
🛒 Максимальная награда за уязвимости — 180 000 ₽ (в зависимости от уровня угрозы).
👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
All Cups — технологическая платформа VK для проведения онлайн-соревнований, чемпионатов и олимпиад.
🔸 В скоупе все домены, созданные для соревнований VK, *.gamescup.ru, *.cups.online (кроме партнёрских или делегированных/размещённых на внешних ресурсах)
myTarget — платформа для размещения рекламы в соцсетях ВКонтакте, Одноклассники, и на других проектах компании VK.
🔸 *.target.my.com и *.ads.vk.com (кроме партнёрских или делегированных/размещённых на внешних ресурсах)
🛒 Максимальная награда за уязвимости — 180 000 ₽ (в зависимости от уровня угрозы).
👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
👍5👎1
«Лента.ру», «Газета.Ru», «Чемпионат»
Что общего у этих ресурсов? Все они участвуют в программе bug bounty от Rambler&Co на The Standoff 365 😎
Скоуп и другие подробности — на странице программы.
⚡️ Самые критичные уязвимости могут принести 100 000 рублей.
Что интересно, у Rambler&Co уже был опыт подобной программы в закрытом режиме. Обкатав процесс с участием ограниченного числа исследователей, компания решилась сделать bug bounty открытой, чтобы привлечь как можно больше ИБ-специалистов и эффективнее защитить свои сервисы и десятки миллионов их пользователей.
Что общего у этих ресурсов? Все они участвуют в программе bug bounty от Rambler&Co на The Standoff 365 😎
Скоуп и другие подробности — на странице программы.
⚡️ Самые критичные уязвимости могут принести 100 000 рублей.
Что интересно, у Rambler&Co уже был опыт подобной программы в закрытом режиме. Обкатав процесс с участием ограниченного числа исследователей, компания решилась сделать bug bounty открытой, чтобы привлечь как можно больше ИБ-специалистов и эффективнее защитить свои сервисы и десятки миллионов их пользователей.
🔥12👍4
👨🦳 Секреты и истории бывалого багхантера
Хотите узнать больше о способах поиска поддоменов, нестандартных векторах и методах поиска уязвимостей?
Исследователь безопасности Юрий Ряднина aka circuit на VolgaCTF 2022 рассказал обо всем этом, а также поделился полезными советами и увлекательными историями из жизни опытного багхантера.
🔥 Увидеть полное выступление Юрия можно на YouTube.
А если у вас есть своя крутая тема и вы хотите поделиться ею — приходите на Standoff Talks. Прием заявок для спикеров уже открыт >> cfp.standoff365.com
Хотите узнать больше о способах поиска поддоменов, нестандартных векторах и методах поиска уязвимостей?
Исследователь безопасности Юрий Ряднина aka circuit на VolgaCTF 2022 рассказал обо всем этом, а также поделился полезными советами и увлекательными историями из жизни опытного багхантера.
🔥 Увидеть полное выступление Юрия можно на YouTube.
🔥10👍2❤1
Forwarded from Positive Technologies
This media is not supported in your browser
VIEW IN TELEGRAM
🧑💻 Стажировка в Positive Technologies. Часть II
В условиях многократного роста числа кибератак необходимы новые компетентные и квалифицированные кадры для Security Operations Center (SOC). Обучение и поддержка начинающих специалистов так же важны, как и вклад в развитие продуктов и улучшение экспертизы.
Мы уже рассказывали о масштабной стажировке, которая прошла с 7 февраля по 6 июня этого года в экспертном центре безопасности Positive Technologies (PT Expert Security Center). Чтобы познакомить ее участников не только с рутинными кейсами внутри сети, но и с реальной хакерской активностью, в финальную часть стажировки было включено участие в кибербитве Standoff.
В новом материале вас ждет рассказ про план и формат работы на битве, разбор пары кейсов из отчетов участников и их собственные отзывы. А еще мы попробуем ответить на главный вопрос: насколько специалисты без практического опыта реально способны обнаружить и расследовать действия настоящих злоумышленников.
👀 Подробнее об этом читайте в статье на Хабре
#PositiveTechnologies
В условиях многократного роста числа кибератак необходимы новые компетентные и квалифицированные кадры для Security Operations Center (SOC). Обучение и поддержка начинающих специалистов так же важны, как и вклад в развитие продуктов и улучшение экспертизы.
Мы уже рассказывали о масштабной стажировке, которая прошла с 7 февраля по 6 июня этого года в экспертном центре безопасности Positive Technologies (PT Expert Security Center). Чтобы познакомить ее участников не только с рутинными кейсами внутри сети, но и с реальной хакерской активностью, в финальную часть стажировки было включено участие в кибербитве Standoff.
В новом материале вас ждет рассказ про план и формат работы на битве, разбор пары кейсов из отчетов участников и их собственные отзывы. А еще мы попробуем ответить на главный вопрос: насколько специалисты без практического опыта реально способны обнаружить и расследовать действия настоящих злоумышленников.
👀 Подробнее об этом читайте в статье на Хабре
#PositiveTechnologies
🔥9👎2👍1😱1
Forwarded from Standoff 365
👉 Новая программа bug bounty от VK
Портал — это разнообразные инструменты для хранения данных, взаимодействия с внешним миром и решения вопросов от личных до профессиональных.
Медиапроекты
👀 Искать уязвимости на Портале ↓
bugbounty.standoff365.com/programs/portal_vk
Портал — это разнообразные инструменты для хранения данных, взаимодействия с внешним миром и решения вопросов от личных до профессиональных.
Медиапроекты
news.mail.ru, pogoda.mail.ru, sportmail.ru, hi-tech.mail.ru, kino.mail.ru, tv.mail.ru, deti.mail.ru, health.mail.ru, dom.mail.ru, lady.mail.ru, auto.mail.ru, hi-chef.ru, pets.mail.ru, dobor.mail.ru, typewriter.mail.ru, resizer.mail.ru, media-poll.mail.ru, media-golos.mail.ru, static.media-golos.mail.ru, *.minigames.mail.ru, otvet.mail.ru
Картыmaps.mail.ru, maps.vk.com📌 Максимальная награда за уязвимости — 180 000 ₽ (в зависимости от уровня угрозы).
👀 Искать уязвимости на Портале ↓
bugbounty.standoff365.com/programs/portal_vk
😁8🔥3👍1
This media is not supported in your browser
VIEW IN TELEGRAM
📢 Через 10 дней завершается Call For Papers на митап Standoff Talks. Но еще можно стать спикером → cfp.standoff365.com
Ждём технические доклады на темы offensive/defensive security, bug bounty и Standoff.
✅ Если вы пропустили первый митап — его можно посмотреть на ютубе.
P.S. А еще Talks — это отличная возможность увидеть Standoff 10 😉
Ждём технические доклады на темы offensive/defensive security, bug bounty и Standoff.
✅ Если вы пропустили первый митап — его можно посмотреть на ютубе.
P.S. А еще Talks — это отличная возможность увидеть Standoff 10 😉
🔥6👍1
Forwarded from Positive Technologies
🛡 Защищенность ресурсов в эпоху глобального киберпротивостояния играет важную роль. Объективно и достоверно оценить защиту бизнеса помогают программы bug bounty.
Российский рынок bug bounty активно формируется. Отечественные компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 млн рублей и более.
Например, средняя выплата за критически опасную уязвимость на нашей платформе Standoff 365 Bug Bounty составляет 420 тысяч рублей, что сопоставимо с выплатами по миру. А за пять месяцев работы платформы участникам было выплачено более 3 млн рублей.
📈 Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры — для них это способ проверить, возможна ли реализация недопустимых событий, которые могут привести к непоправимым последствиям, в их информационных системах.
🪲🔍 Мы проанализировали крупные и активные платформы bug bounty по всему миру и выяснили в каких отраслях наиболее востребованы услуги независимых исследователей, какие вознаграждения выплачивают компании и в каких регионах больше всего bug-bounty-платформ.
Подробнее — на карточках, а также в нашем полном исследовании.
#PositiveTechnologies #Standoff365 #BugBounty
Российский рынок bug bounty активно формируется. Отечественные компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 млн рублей и более.
Например, средняя выплата за критически опасную уязвимость на нашей платформе Standoff 365 Bug Bounty составляет 420 тысяч рублей, что сопоставимо с выплатами по миру. А за пять месяцев работы платформы участникам было выплачено более 3 млн рублей.
📈 Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры — для них это способ проверить, возможна ли реализация недопустимых событий, которые могут привести к непоправимым последствиям, в их информационных системах.
🪲🔍 Мы проанализировали крупные и активные платформы bug bounty по всему миру и выяснили в каких отраслях наиболее востребованы услуги независимых исследователей, какие вознаграждения выплачивают компании и в каких регионах больше всего bug-bounty-платформ.
Подробнее — на карточках, а также в нашем полном исследовании.
#PositiveTechnologies #Standoff365 #BugBounty
🔥8👍1
Forwarded from Багхантер
This media is not supported in your browser
VIEW IN TELEGRAM
10 способов отрепортить ерунду и получить за это баунти (1 часть)
Написал небольшую статью про самые нелепые баги за которые мне удавалось получить награду ;)
Буду благодарен если где-то поделитесь статьей)
https://telegra.ph/10-sposobov-otreportit-erundu-i-poluchit-za-ehto-baunti-10-10
Написал небольшую статью про самые нелепые баги за которые мне удавалось получить награду ;)
Буду благодарен если где-то поделитесь статьей)
https://telegra.ph/10-sposobov-otreportit-erundu-i-poluchit-za-ehto-baunti-10-10
👍13🔥4❤3
Forwarded from BeardyCast
В новом выпуске подкаста Андрей обсудил с Анатолием Ивановым из Positive Technologies работу «белых» хакеров и безопасников: поиск уязвимостей и платформы баг-баунти, а также путь новичка в профессии и представление хакеров в культуре.
YouTube | Сайт | Скачать MP3
YouTube | Сайт | Скачать MP3
YouTube
Как работают «белые» хакеры. Доходы, взломы и платформы | BeardyCast 380
В новом выпуске подкаста Андрей обсудил с Анатолием Ивановым из Positive Technologies хакеров и безопасников: поиск уязвимостей и платформу баг-баунти, а также путь новичка в профессии.
00:00 — Вступление. В гостях Анатолий Иванов — сотрудник Positive Technologies.…
00:00 — Вступление. В гостях Анатолий Иванов — сотрудник Positive Technologies.…
❤5
Среди каналов, посвященных информационной безопасности, есть один, о принадлежности которого существует множество версий, но ни одна из них не является верной.
Это канал SecAtor.
Вашему вниманию самые таинственные авторы из мира инфосек, которые расскажут про борьбу спецслужб в киберпространстве, про активность вымогателей и коммерческих хакерских групп, про свежие уязвимости, которые нужно срочно пофиксить. Ну и про инсайды инфосека, само собой.
Канал SecAtor — его авторов не знает никто, но они знают многое.
Это канал SecAtor.
Вашему вниманию самые таинственные авторы из мира инфосек, которые расскажут про борьбу спецслужб в киберпространстве, про активность вымогателей и коммерческих хакерских групп, про свежие уязвимости, которые нужно срочно пофиксить. Ну и про инсайды инфосека, само собой.
Канал SecAtor — его авторов не знает никто, но они знают многое.
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com
Для связи - mschniperson@mailfence.com
🔥4
👀 Что случилось на Standoff 365 Bug Bounty
За пять месяцев работы платформы:
🔸2500+ хакеров зарегистрировались
🔸24 программы bug bounty запущены
🔸600+ отчетов об уязвимостях получено
🔸5+ млн рублей назначено в качестве вознаграждения
Спасибо всем причастным 🙏
А если вы только начинаете свой путь, то вот пара полезных статей.
📄 С чего начать багхантинг приложений, мы рассказали на Хабре.
💻 А об атаках типа account takeover недавно рассказал наш друг сircuit.
За пять месяцев работы платформы:
🔸2500+ хакеров зарегистрировались
🔸24 программы bug bounty запущены
🔸600+ отчетов об уязвимостях получено
🔸5+ млн рублей назначено в качестве вознаграждения
Спасибо всем причастным 🙏
А если вы только начинаете свой путь, то вот пара полезных статей.
📄 С чего начать багхантинг приложений, мы рассказали на Хабре.
💻 А об атаках типа account takeover недавно рассказал наш друг сircuit.
👍9🔥7❤3
Forwarded from Positive Technologies
🎮 Кибербезопасность в играх
Компьютерные игры по принципу своей работы — это обычное программное обеспечение. И с защитой в них далеко не все так гладко. Базовые рекомендации по безопасности здесь мало чем отличаются от классических правил сетевой гигиены.
💬 Владимир Кочетков, руководитель отдела исследований и разработки анализаторов кода Positive Technologies, советует:
🖥 Будьте осторожнее с игровыми платформами и внутриигровой коммуникацией, не используйте сомнительные настройки или включайте их только для друзей. Например, одна из настроек Steam позволяет при определенных условиях узнавать очень многое о своих тиммейтах.
🛡 Не отключайте антивирусы. Они действительно снижают производительность, но не так сильно, чтобы это серьезно влияло на игру.
🔐 Не забывайте о защите от вредоносного программного обеспечения. Если антивирус Windows ругается, это чаще всего значит, что могут начаться проблемы не только с играми, но и с банковскими данными, производительностью и вредоносным трафиком.
🪄 Если в игре начинают происходить «чудеса», как было в Apex Legends, когда хакеры атаковали сетевой протокол и смогли подменить контент в клиентах, то лучше на время отказаться от игры, выйти из взломанного клиента и дождаться исправления ситуации.
Подробнее о проблемах игровой индустрии читайте в интервью Владимира на Хабре.
#PositiveЭксперты
Компьютерные игры по принципу своей работы — это обычное программное обеспечение. И с защитой в них далеко не все так гладко. Базовые рекомендации по безопасности здесь мало чем отличаются от классических правил сетевой гигиены.
💬 Владимир Кочетков, руководитель отдела исследований и разработки анализаторов кода Positive Technologies, советует:
🖥 Будьте осторожнее с игровыми платформами и внутриигровой коммуникацией, не используйте сомнительные настройки или включайте их только для друзей. Например, одна из настроек Steam позволяет при определенных условиях узнавать очень многое о своих тиммейтах.
🛡 Не отключайте антивирусы. Они действительно снижают производительность, но не так сильно, чтобы это серьезно влияло на игру.
🔐 Не забывайте о защите от вредоносного программного обеспечения. Если антивирус Windows ругается, это чаще всего значит, что могут начаться проблемы не только с играми, но и с банковскими данными, производительностью и вредоносным трафиком.
🪄 Если в игре начинают происходить «чудеса», как было в Apex Legends, когда хакеры атаковали сетевой протокол и смогли подменить контент в клиентах, то лучше на время отказаться от игры, выйти из взломанного клиента и дождаться исправления ситуации.
Подробнее о проблемах игровой индустрии читайте в интервью Владимира на Хабре.
#PositiveЭксперты
👍6