🥳 Приветствуем вас на новостном канале платформы The Standoff 365! Здесь мы будем рассказывать вам о возможностях платформы, обновлениях и делиться полезным техническим контентом.
На портале, помимо традиционной кибербитвы The Standoff, мы запускаем платформу коммерческого Bug Bounty в реальных системах, и постоянно доступный киберполигон (в июле).
Отличие нашей багбаунти-платформы — возможность хакерам не только искать отдельные уязвимости в системах и продуктах, но и реализовывать критичные для бизнеса события через цепочки атак. Вам нужно не только найти уязвимость, но и проэксплуатировать её/повысить привилегии в системе/сделать другие шаги, в результате которых, например, можно получить данные пользователей системы.
🔹 На Bug Bounty хакеры без риска для себя ищут уязвимости в разнообразных сервисах, от небольших частных компаний до мощных платформ, СКАД и банковских сегментов.
🔹 Компании заплатят за найденные уязвимости в разрешённом скоупе. Если сможете реализовать недопустимое событие для бизнеса — сорвёте куш.
🔹 Хакеры участвуют в рейтинге на платформе и набирают портфолио найденных багов. Ваш профиль — показатель реальных скиллов, которые ценят работодатели.
🔹 Мир становится чуточку безопаснее.
Зарегистрироваться 👉 bugbounty.standoff365.com
На портале, помимо традиционной кибербитвы The Standoff, мы запускаем платформу коммерческого Bug Bounty в реальных системах, и постоянно доступный киберполигон (в июле).
Отличие нашей багбаунти-платформы — возможность хакерам не только искать отдельные уязвимости в системах и продуктах, но и реализовывать критичные для бизнеса события через цепочки атак. Вам нужно не только найти уязвимость, но и проэксплуатировать её/повысить привилегии в системе/сделать другие шаги, в результате которых, например, можно получить данные пользователей системы.
🔹 На Bug Bounty хакеры без риска для себя ищут уязвимости в разнообразных сервисах, от небольших частных компаний до мощных платформ, СКАД и банковских сегментов.
🔹 Компании заплатят за найденные уязвимости в разрешённом скоупе. Если сможете реализовать недопустимое событие для бизнеса — сорвёте куш.
🔹 Хакеры участвуют в рейтинге на платформе и набирают портфолио найденных багов. Ваш профиль — показатель реальных скиллов, которые ценят работодатели.
🔹 Мир становится чуточку безопаснее.
Зарегистрироваться 👉 bugbounty.standoff365.com
🔥3
Bug Bounty от Positive Technologies
Positive Technologies — один из крупнейших разработчиков продуктов в сфере кибербезопасности. Теперь ещё и публичная компания ;)
Предлагает вам найти уязвимости высокого уровня опасности на следующих доменах (без поддоменов):
🔸 partners.ptsecurity.ru
🔸 www.ptsecurity.com
Максимальная награда за уязвимости — 393 000 ₽
Искать уязвимости 👉 bugbounty.standoff365.com/programs/1
Positive Technologies — один из крупнейших разработчиков продуктов в сфере кибербезопасности. Теперь ещё и публичная компания ;)
Предлагает вам найти уязвимости высокого уровня опасности на следующих доменах (без поддоменов):
🔸 partners.ptsecurity.ru
🔸 www.ptsecurity.com
Максимальная награда за уязвимости — 393 000 ₽
Искать уязвимости 👉 bugbounty.standoff365.com/programs/1
👍3
Bug Bounty от Азбуки вкуса
Азбука вкуса — огромный ритейл, которым пользуются тысячи людей ежедневно.
Компания предлагает вам поискать уязвимости среднего уровня критичности в следующем скоупе:
🔸 Сервисы, доступные в беспроводных сетях компании и сами беспроводные сети, принадлежащие Азбуке Вкуса.
Максимальная награда за уязвимости — 100 000 ₽
Искать уязвимости 👉 bugbounty.standoff365.com/programs/3
Азбука вкуса — огромный ритейл, которым пользуются тысячи людей ежедневно.
Компания предлагает вам поискать уязвимости среднего уровня критичности в следующем скоупе:
🔸 *.av.ru, *.azbukavkusa.ru — домены🔸 195.19.210.0/24 — CIDR🔸 Сервисы, доступные в беспроводных сетях компании и сами беспроводные сети, принадлежащие Азбуке Вкуса.
Максимальная награда за уязвимости — 100 000 ₽
Искать уязвимости 👉 bugbounty.standoff365.com/programs/3
👍4
⏳ Четыре дня до открытия онлайн-киберполигона!
50 счастливчиков тестировали полигон ещё в декабре и представляют, как всё работает. Теперь мы готовы открыть его для всех вас :)
Онлайн-киберполигон — это площадка, где можно ломать копии реальных инфраструктур компаний, оттачивая навыки пентеста или исследуя новые техники атак 24/7.
В декабре участники тестирования получили платформу с двумя сегментами: энергетическим холдингом Big Bro Group и IT-компанией Hello World Systems. Полигон работал по стандартным правилам The Standoff: хакеры искали уязвимости в системах, реализовывали недопустимые события и сдавали отчёты. Что изменилось?
#Changelog:
✔️ Добавили новый сегмент — банк, который проводит финансовые операции между предприятиями и гражданами, а также выполняет межбанковские переводы через интерфейс с центробанком.
✔️ Изменили принцип получения очков: вместо написания отчётов участники будут сдавать флаги. Когда вы достигли цели и реализовали недопустимое событие, вы заберёте с системы строчку определённого формата — флаг. Он доказывает, что вы успешно проникли в систему.
✔️ В веб-интерфейсе можно получить e-mail учётки для фишинга на полигоне и сделать откат машин в случае поломки.
Приходите в понедельник на платформу, чтобы раньше всех грабануть банк 😎
50 счастливчиков тестировали полигон ещё в декабре и представляют, как всё работает. Теперь мы готовы открыть его для всех вас :)
Онлайн-киберполигон — это площадка, где можно ломать копии реальных инфраструктур компаний, оттачивая навыки пентеста или исследуя новые техники атак 24/7.
В декабре участники тестирования получили платформу с двумя сегментами: энергетическим холдингом Big Bro Group и IT-компанией Hello World Systems. Полигон работал по стандартным правилам The Standoff: хакеры искали уязвимости в системах, реализовывали недопустимые события и сдавали отчёты. Что изменилось?
#Changelog:
✔️ Добавили новый сегмент — банк, который проводит финансовые операции между предприятиями и гражданами, а также выполняет межбанковские переводы через интерфейс с центробанком.
✔️ Изменили принцип получения очков: вместо написания отчётов участники будут сдавать флаги. Когда вы достигли цели и реализовали недопустимое событие, вы заберёте с системы строчку определённого формата — флаг. Он доказывает, что вы успешно проникли в систему.
✔️ В веб-интерфейсе можно получить e-mail учётки для фишинга на полигоне и сделать откат машин в случае поломки.
Приходите в понедельник на платформу, чтобы раньше всех грабануть банк 😎
🔥5
🤘 The Standoff Talks снова в деле
Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.
🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com
С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.
Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.
Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥
Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.
🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com
С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.
Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.
Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥
👍6🎉1👌1
Правила The Standoff 365.pdf
1.3 MB
📌 Мы скоро откроем онлайн-киберполигон, а вы уже можете ознакомиться с правилами. Будет полезно тем, кто не участвовал в The Standoff.
Чат для вопросов по платформе, обсуждения киберполигона, багбаунти и митапов → @standoff_365_chat
Чат для вопросов по платформе, обсуждения киберполигона, багбаунти и митапов → @standoff_365_chat
Встречайте, онлайн-киберполигон The Standoff 365 — online.standoff365.com
Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦
Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦
🔥13
SCOPE
🔸
🔸
🔸
Входные точки
🔸
🔸
10.127.11.0/24 — Hello World Systems🔸
10.127.12.0/24 — STF Bank🔸
10.127.13.0/24 — Big Bro GroupВходные точки
🔸
10.127.11.129, 10.127.11.130, 10.127.11.131, 10.127.11.146, 10.127.11.152, 10.127.11.217, 10.127.11.221, 10.127.11.254
🔸 10.127.12.129, 10.127.12.138, 10.127.12.141, 10.127.12.143, 10.127.12.173, 10.127.12.217, 10.127.12.254
🔸 10.127.13.151, 10.127.13.164, 10.127.13.175, 10.127.13.200, 10.127.13.222, 10.127.13.248
❗️Обратите внимание, что скрипт для получения флага лежит не в /etc/rceflag, а в /home/rceflag👍9❤1
🧯Реализованы первые недопустимые события на киберполигоне
Хакеры: AlinaPoteet и undefi
Сегмент: STF Bank
Недопустимые события:
🔺 утечка конфиденциальной информации — получение доступа к компьютеру бухгалтера банка
🔺 утечка персональных данных сотрудников — получение доступа к ERP-системе или к базе данных сотрудников банка
Теперь AlinaPoteet занимает первую строчку рейтинга хакеров, а undefi вторую. Поздравляем! 🥳
Если тоже хотите погрузиться в ломание банковской инфраструктуры, приходите на online.standoff365.com
Задания и креды для подключения к полигону видны после регистрации ;-)
Хакеры: AlinaPoteet и undefi
Сегмент: STF Bank
Недопустимые события:
🔺 утечка конфиденциальной информации — получение доступа к компьютеру бухгалтера банка
🔺 утечка персональных данных сотрудников — получение доступа к ERP-системе или к базе данных сотрудников банка
Теперь AlinaPoteet занимает первую строчку рейтинга хакеров, а undefi вторую. Поздравляем! 🥳
Если тоже хотите погрузиться в ломание банковской инфраструктуры, приходите на online.standoff365.com
Задания и креды для подключения к полигону видны после регистрации ;-)
👍9🔥3
Bug Bounty от VK уже на The Standoff 365
VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.
Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:
▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).
⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).
Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk
VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.
Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:
▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).
⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).
Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk
🎉7👍4👏2
🔥 Завершили отбор докладов на митап The Standoff Talks. Было так много крутых заявок, что мы даже решили расширить по времени программу :) Спасибо всем подавшимся!
Итак, 23 августа в программе будут следующие доклады:
🔹 Виктор Зварыкин — Не делайте так, как мы
Про участие команды ITeasy в майском The Standoff и сделанные выводы после игры.
🔹 Роман Максимов — Абузим Zabbix заказчика, или как бедолаге стать хозяином подконтрольных узлов
Об особенностях использования развёрнутой в сети заказчика системы мониторинга Zabbix во благо пентестера.
🔹 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Широкий обзор атак на сети Cisco. Вся боль и тлен сетевого инженера при виде сетей, если к их администрированию и дизайну отнеслись халатно.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
🔹 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
Про подготовку и неоднократное участие команды в The Standoff, стэндоффхаки в организации команды.
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Илья Шапошников — MSSQL: dump linked passwords
Про основные варианты атаки на MSSQL и новый вектор атаки для получения паролей от связанных серверов через локальный доступ к СУБД.
На этот митап приглашаем слушателей в основном по инвайтам — ищите их у команд The Standoff и спикеров. Завтра расскажем, как ещё можно получить приглашение 👉через нашу платформу багбаунти и киберполигон.
Итак, 23 августа в программе будут следующие доклады:
🔹 Виктор Зварыкин — Не делайте так, как мы
Про участие команды ITeasy в майском The Standoff и сделанные выводы после игры.
🔹 Роман Максимов — Абузим Zabbix заказчика, или как бедолаге стать хозяином подконтрольных узлов
Об особенностях использования развёрнутой в сети заказчика системы мониторинга Zabbix во благо пентестера.
🔹 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Широкий обзор атак на сети Cisco. Вся боль и тлен сетевого инженера при виде сетей, если к их администрированию и дизайну отнеслись халатно.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
🔹 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
Про подготовку и неоднократное участие команды в The Standoff, стэндоффхаки в организации команды.
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Илья Шапошников — MSSQL: dump linked passwords
Про основные варианты атаки на MSSQL и новый вектор атаки для получения паролей от связанных серверов через локальный доступ к СУБД.
На этот митап приглашаем слушателей в основном по инвайтам — ищите их у команд The Standoff и спикеров. Завтра расскажем, как ещё можно получить приглашение 👉
🔥8
Как получить билет на митап
Вчера мы анонсировали доклады на митап 23 августа. Самое время рассказать про конкурс.
На платформе есть хакеры, которые не участвовали в The Standoff. Они не получили персональные приглашения на митап, но при этом активно присылают отчёты о найденных уязвимостях и реализуют недопустимые события. Если ты из их числа и хочешь посетить первый The Standoff Talks, увидеть всё из зала и пообщаться со спикерами лично, выпить пива — поднажми на платформе Bug Bounty и киберполигоне 💪
📅 В среду 17 августа в 17:00 мск мы пришлём билеты всем хакерам с ≥ 3000 баллов в общем рейтинге на киберполигоне и всем багхантерам с ≥ 1000 баллов. Если желающих окажется больше, чем мест в лофте, расчехлим random.org и пришлём приглашения самым удачливым.
GLHF!
Вчера мы анонсировали доклады на митап 23 августа. Самое время рассказать про конкурс.
На платформе есть хакеры, которые не участвовали в The Standoff. Они не получили персональные приглашения на митап, но при этом активно присылают отчёты о найденных уязвимостях и реализуют недопустимые события. Если ты из их числа и хочешь посетить первый The Standoff Talks, увидеть всё из зала и пообщаться со спикерами лично, выпить пива — поднажми на платформе Bug Bounty и киберполигоне 💪
📅 В среду 17 августа в 17:00 мск мы пришлём билеты всем хакерам с ≥ 3000 баллов в общем рейтинге на киберполигоне и всем багхантерам с ≥ 1000 баллов. Если желающих окажется больше, чем мест в лофте, расчехлим random.org и пришлём приглашения самым удачливым.
GLHF!
👍10
🔥 The Standoff Talks уже через 6 дней, спикеры вовсю готовятся поделиться своими наработками.
Знакомьтесь, Константин Полишин из команды PT SWARM. Он выступит с докладом «RedTeam страдания SOC’а».
Скоро пришлём инвайты победителям конкурса на платформе The Standoff 365 и выложим программу митапа. Онлайн тоже можно будет присоединиться, но об этом позже :)
Знакомьтесь, Константин Полишин из команды PT SWARM. Он выступит с докладом «RedTeam страдания SOC’а».
Скоро пришлём инвайты победителям конкурса на платформе The Standoff 365 и выложим программу митапа. Онлайн тоже можно будет присоединиться, но об этом позже :)