Нашли ошибки — заработали миллионы 💰
Недавно brain и kedr поделились с нами, как они начинали путь в багбаунти, какие уязвимости запомнили больше всего и как изменилась их жизнь.
А еще ребята успели:
🔵 brain — войти в топ-1 меньше чем за год
🔵 kedr — получить рекордную выплату платформы в 4,97 миллиона
👉 История о том, как увлечение стало делом жизни, уже здесь.
Читай статью, если хочешь так же😋
Недавно brain и kedr поделились с нами, как они начинали путь в багбаунти, какие уязвимости запомнили больше всего и как изменилась их жизнь.
А еще ребята успели:
Читай статью, если хочешь так же
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21❤14🔥12
С 22 ноября 22:00 до 23 ноября 06:00 возможны перебои в работе портала.
Запланируй отдых
Please open Telegram to view this post
VIEW IN TELEGRAM
👀6👍4😨3
This media is not supported in your browser
VIEW IN TELEGRAM
Сезонный рейтинг на Standoff Hackbase и новый хост на Standalone 🔥
Конец года не за горами, а итоги Ground zero, первого сезона Hackbase, еще ближе.
15 декабря фиксируем результаты и закрываем этот этап. А это значит, что у тебя еще есть время залететь в топ и получить уникальные ачивки🗓
Догоняем топ-3:
А чтобы ускорить процесс получения баллов, мы добавили новый уязвимый сервис:⬇️
Тренируйся на нем и повышай свои шансы на первое место🔝
Сейчас лучший момент, чтобы стать одним из лидеров Hackbase. Кстати, 25 хакеров из топа сезонного рейтинга в конце года получат награды и призы.
Так что следи за обновлениями, выбирай вектор атаки и врывайся в топ🤑
Покажи, на что ты способен!
Конец года не за горами, а итоги Ground zero, первого сезона Hackbase, еще ближе.
15 декабря фиксируем результаты и закрываем этот этап. А это значит, что у тебя еще есть время залететь в топ и получить уникальные ачивки
Догоняем топ-3:
🥇 CSV🥈 dragom🥉 Bagley
А чтобы ускорить процесс получения баллов, мы добавили новый уязвимый сервис:
rawmatex.standalone.stf
Тренируйся на нем и повышай свои шансы на первое место
Сейчас лучший момент, чтобы стать одним из лидеров Hackbase. Кстати, 25 хакеров из топа сезонного рейтинга в конце года получат награды и призы.
Так что следи за обновлениями, выбирай вектор атаки и врывайся в топ
Покажи, на что ты способен!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12🔥8🥰5🎉3
Наш багхантер pozeslamix рассказал про необычный способ эксплуатации уязвимости 🕵️♀️
В канале он опубликовал статью, где рассказал о нестандартной уязвимости в службе поддержки. А еще поделился тем, как креативно действовать и при этом не выходить за скоуп.
Переходим по ссылке и скрашиваем вечер пятницы👇
В канале он опубликовал статью, где рассказал о нестандартной уязвимости в службе поддержки. А еще поделился тем, как креативно действовать и при этом не выходить за скоуп.
Переходим по ссылке и скрашиваем вечер пятницы
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19❤10👍7
Forwarded from KCSEC 🇷🇺
Telegraph
Службы поддержки: где искать баги и получать награды
Дисклеймер Эта статья носит исключительно информационный характер и предназначена для специалистов по кибербезопасности. Материал не является инструкцией или призывом к совершению противоправных деяний. Вся информация может применяться только в законных целях…
🔥31❤15🥰12💩7🤡4🤮2🕊1
Программа «Магнита» теперь доступна всем багхантерам на Standoff Bug Bounty 🛍
Если вы искали тот самый круглосуточный магазин, где платите не вы, а вам, — то он перед вами!
С февраля прошлого года двери в него были открыты только по картам лояльности, а теперь «Магнит» запустил программу в паблик — с расширенным скоупом и увеличенными выплатами.
За найденные баги можно получить до 250 000 рублей🤑
Что предстоит исследовать:
Уязвимости — на полках: найдите баг, принесите на кассу Standoff Bug Bounty и заберите награду🧾
Если вы искали тот самый круглосуточный магазин, где платите не вы, а вам, — то он перед вами!
С февраля прошлого года двери в него были открыты только по картам лояльности, а теперь «Магнит» запустил программу в паблик — с расширенным скоупом и увеличенными выплатами.
За найденные баги можно получить до 250 000 рублей
Что предстоит исследовать:
• Приложение в Google Play
• Приложение в App Store
• id.magnit.ru
• middle-api.magnit.ru
• dostavka.magnit.ru
• my.magnit.ru
• magnit.ru
• hi.tander.ru
Уязвимости — на полках: найдите баг, принесите на кассу Standoff Bug Bounty и заберите награду
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍11🥰8🤡4🔥2
Время прощаться 🐱
1 декабря мы временно уберем из сезона Standoff Hackbase два уязвимых сервиса: Pharmacy и Portal.
Но есть и хорошие новости! Отмечать завершение будем райтапами. В двух форматах:
➖ статья на Хабре
➖ видеоразбор
Ты готов поделиться своим опытом? Тогда пиши @stfcommunity.
Инициативных ребят ждетспасибо в кармане публикация с авторством и что-то новенькое aka специальная ачивка 😏
Мы не хотим забывать смельчаков: если ты уже готовил для нас райтап, напиши нам. Ачивки должны долететь до своих героев!
1 декабря мы временно уберем из сезона Standoff Hackbase два уязвимых сервиса: Pharmacy и Portal.
Но есть и хорошие новости! Отмечать завершение будем райтапами. В двух форматах:
Ты готов поделиться своим опытом? Тогда пиши @stfcommunity.
Инициативных ребят ждет
Мы не хотим забывать смельчаков: если ты уже готовил для нас райтап, напиши нам. Ачивки должны долететь до своих героев!
А еще напоминаем, что мы ждем твой отзыв о Hackbase.
С идеями улучшений приходи сюда. Топовые возьмем на вооружение🫡
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9🥰9❤🔥6🤡4
«Битрикс» теперь в паблике на Standoff Bug Bounty 👨💻
У тебя новые планы на неделю — исследовать экосистему, где есть все для бизнеса: от CRM до видеозвонков и автоматизации📋
В скоупе:
Занес в планер? А теперь заходи на Standoff Bug Bounty и делай бизнес безопаснее💰
У тебя новые планы на неделю — исследовать экосистему, где есть все для бизнеса: от CRM до видеозвонков и автоматизации
В скоупе:
🔗 Портал «Битрикс24»🔗 Уникальный домен
Занес в планер? А теперь заходи на Standoff Bug Bounty и делай бизнес безопаснее
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥14❤11👍6🤡4
MAXимум выплат 🔥
За найденные уязвимости теперь можно получить до х2 выплат.
А это значит, что 10 млн рублей за крит уже ждут тебя! Да, десять миллионов, это не опечатка.
В скоупе:
Хочешь войти в историю и забрать 10 млн? Тогда читай подробности и зарабатывай здесь⬅️
За найденные уязвимости теперь можно получить до х2 выплат.
А это значит, что 10 млн рублей за крит уже ждут тебя! Да, десять миллионов, это не опечатка.
В скоупе:
• Веб-версия
• Мобильное приложение
• И wildcard на все домены
Хочешь войти в историю и забрать 10 млн? Тогда читай подробности и зарабатывай здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20🔥12💩12👍7🥴3🤯2⚡2👎1🤪1
Восстановить хост — легко ⚙️
В рамках последнего обновления Standoff Hackbase подъехала еще одна фича!
На полигоне упал или глючит хост? Запусти восстановление — и система вернется в исходное состояние.
Рассказываем, как это работает:
🟣 Выбери сегмент Standalone
🟣 Кликни «Восстановить» на проблемном хосте
🟣 Введи IP или FQDN узла, который нужно сбросить
🟣 Отслеживай статус восстановления на вкладке «Доступ и ресурсы» в блоке «Восстановление системы»
Не отвлекайся на сбои — сосредоточься на самом главном
А поделиться обратной связью о Hackbase можно здесь😘
В рамках последнего обновления Standoff Hackbase подъехала еще одна фича!
На полигоне упал или глючит хост? Запусти восстановление — и система вернется в исходное состояние.
Рассказываем, как это работает:
П.с.: Пока восстанавливать хосты можно только в сегменте Standalone. Но мы работаем над тем, чтобы такая возможность появилась и в Industry🥰
Не отвлекайся на сбои — сосредоточься на самом главном
А поделиться обратной связью о Hackbase можно здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23❤11❤🔥8
Forwarded from Standoff Bug Bounty Tips
От обхода фильтрации email-адресов до SQLi 😓
Если система фильтрует email-адреса и запрещает спецсимволы, попробуй обойти проверку через кавычки перед🤕
Дальше начинается самое интересное — внутри кавычек можно размещать пэйлоад:
Твоя задача — аккуратно сломать валидатор, который определяет корректность адреса по RFC и пропустить вредоносный ввод в бэкенд. Если разработчики привязали фильтрацию email к SQL-запросу без параметров — дорога к SQLi открыта💨
Если система фильтрует email-адреса и запрещает спецсимволы, попробуй обойти проверку через кавычки перед
@. Формат "username"@domain.com валиден по RFC 3696, и большинство валидаторов об этом «забывают» Дальше начинается самое интересное — внутри кавычек можно размещать пэйлоад:
“<noscript src=//xsshere?”@email.com
“1-’or’1'=’1”@email.com
...
Твоя задача — аккуратно сломать валидатор, который определяет корректность адреса по RFC и пропустить вредоносный ввод в бэкенд. Если разработчики привязали фильтрацию email к SQL-запросу без параметров — дорога к SQLi открыта
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23❤9🔥4🤯2🗿1
Bitrix Critmas к нам мчится 🎄
Слышал о легендарном Pwn2Own? Битрикс запускает активность, вдохновленную его форматом — и впервые в России проводит собственное соревнование в рамках Bug Bounty.
С 1 декабря по 31 января соревнуйся в умении находить критические и высокие уязвимости, присылай отчеты и получай двойные выплаты.
Завершаем 19 февраля: авторы лучших отчетов получат призы на офлайн-ивенте.
🔴 А чтобы участвовать, добавь слово КОНКУРС в свой отчет!🔴
Участвуй и забирай награду Bitrix Pwn Master от Битрикса!
Слышал о легендарном Pwn2Own? Битрикс запускает активность, вдохновленную его форматом — и впервые в России проводит собственное соревнование в рамках Bug Bounty.
С 1 декабря по 31 января соревнуйся в умении находить критические и высокие уязвимости, присылай отчеты и получай двойные выплаты.
Завершаем 19 февраля: авторы лучших отчетов получат призы на офлайн-ивенте.
Участвуй и забирай награду Bitrix Pwn Master от Битрикса!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤🔥11🤣11💘9😁3🤷♂2❤1
Forwarded from Standoff Cyberbattle
Делимся историями интересных взломов на кибербитвах в 2025-м 👽
Вдохновляйся нестандартными решениями. Они тебе пригодятся: скоро кибербитва Standoff 17.
Отборочные стартуют в конце февраля, а битва пройдет в конце мая.
Настраивайся на победу — уже скоро выйдем с официальным анонсом🐱
Вдохновляйся нестандартными решениями. Они тебе пригодятся: скоро кибербитва Standoff 17.
Отборочные стартуют в конце февраля, а битва пройдет в конце мая.
Настраивайся на победу — уже скоро выйдем с официальным анонсом
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥16❤11🥰7🔥4😐1
Большие технические работы ⚠️
Они пройдут в несколько этапов:
🔴 С 20:00 12 декабря до 7:00 13 декабря весь портал Standoff 365 будет недоступен.
🔴 С 20:00 12 декабря до 20:00 14 декабря не будут доступны Standoff Hackbase, Standoff Cyberbones и Standoff Defend.
Standoff Bug Bounty будет работать после 7:00 13 декабря.
За это время ты сможешь:
— выспаться,
— испытать удачу в чате,
— написать в техподдержку и спросить: «А что случилось?»🙏
Они пройдут в несколько этапов:
Standoff Bug Bounty будет работать после 7:00 13 декабря.
За это время ты сможешь:
— выспаться,
— испытать удачу в чате,
— написать в техподдержку и спросить: «А что случилось?»
Please open Telegram to view this post
VIEW IN TELEGRAM
👌9😱3❤2
Хардкорный хост от комьюнити 🖥
Команда энтузиастов из комьюнити разработала тачку уровня Hard, которая появится в одном из следующих сезонов Standoff Hackbase.
@B0rn2beR00T (Space x Pwn3dP0ss3), @ig-rudenko, @panacea, @akolbeev, @vami7ir, благодаря вам Hackbase становится насыщеннее и интереснее. Спасибо за ваш труд!
🔗 Хост особенно понравится тем, кто готов к глубокой разведке, построению сложных цепочек атак и аккуратной работе с живой инфраструктурой.
Он появится уже в следующем сезоне Standoff Hackbase — в 2026 году.
Заинтригован? Мы — да. А что будет дальше, расскажем совсем скоро.
Комьюнити уже делает крутые сервисы. Присоединяйся, чтобы создавать уникальные тачки(и войти в историю с топовым хостом) ⌨️
Подробнее о программе — на нашей платформе.
Команда энтузиастов из комьюнити разработала тачку уровня Hard, которая появится в одном из следующих сезонов Standoff Hackbase.
@B0rn2beR00T (Space x Pwn3dP0ss3), @ig-rudenko, @panacea, @akolbeev, @vami7ir, благодаря вам Hackbase становится насыщеннее и интереснее. Спасибо за ваш труд!
По легенде, уязвимый сервис моделирует серверную часть городского мессенджера и связанные с ним внутренние сервисы. Это не просто мессенджер — это современная цифровая среда для общения жителей города F: безопасные чаты, персонализированная лента новостей и удобный интерфейс.
Он появится уже в следующем сезоне Standoff Hackbase — в 2026 году.
Заинтригован? Мы — да. А что будет дальше, расскажем совсем скоро.
Комьюнити уже делает крутые сервисы. Присоединяйся, чтобы создавать уникальные тачки
Подробнее о программе — на нашей платформе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤🔥9🤔4💘3🔥1