Forwarded from Standoff Bug Bounty Tips
От обхода фильтрации email-адресов до SQLi 😓
Если система фильтрует email-адреса и запрещает спецсимволы, попробуй обойти проверку через кавычки перед🤕
Дальше начинается самое интересное — внутри кавычек можно размещать пэйлоад:
Твоя задача — аккуратно сломать валидатор, который определяет корректность адреса по RFC и пропустить вредоносный ввод в бэкенд. Если разработчики привязали фильтрацию email к SQL-запросу без параметров — дорога к SQLi открыта💨
Если система фильтрует email-адреса и запрещает спецсимволы, попробуй обойти проверку через кавычки перед
@. Формат "username"@domain.com валиден по RFC 3696, и большинство валидаторов об этом «забывают» Дальше начинается самое интересное — внутри кавычек можно размещать пэйлоад:
“<noscript src=//xsshere?”@email.com
“1-’or’1'=’1”@email.com
...
Твоя задача — аккуратно сломать валидатор, который определяет корректность адреса по RFC и пропустить вредоносный ввод в бэкенд. Если разработчики привязали фильтрацию email к SQL-запросу без параметров — дорога к SQLi открыта
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23❤9🔥4🤯2🗿1
Bitrix Critmas к нам мчится 🎄
Слышал о легендарном Pwn2Own? Битрикс запускает активность, вдохновленную его форматом — и впервые в России проводит собственное соревнование в рамках Bug Bounty.
С 1 декабря по 31 января соревнуйся в умении находить критические и высокие уязвимости, присылай отчеты и получай двойные выплаты.
Завершаем 19 февраля: авторы лучших отчетов получат призы на офлайн-ивенте.
🔴 А чтобы участвовать, добавь слово КОНКУРС в свой отчет!🔴
Участвуй и забирай награду Bitrix Pwn Master от Битрикса!
Слышал о легендарном Pwn2Own? Битрикс запускает активность, вдохновленную его форматом — и впервые в России проводит собственное соревнование в рамках Bug Bounty.
С 1 декабря по 31 января соревнуйся в умении находить критические и высокие уязвимости, присылай отчеты и получай двойные выплаты.
Завершаем 19 февраля: авторы лучших отчетов получат призы на офлайн-ивенте.
Участвуй и забирай награду Bitrix Pwn Master от Битрикса!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤🔥11🤣11💘9😁3🤷♂2❤1
Forwarded from Standoff Cyberbattle
Делимся историями интересных взломов на кибербитвах в 2025-м 👽
Вдохновляйся нестандартными решениями. Они тебе пригодятся: скоро кибербитва Standoff 17.
Отборочные стартуют в конце февраля, а битва пройдет в конце мая.
Настраивайся на победу — уже скоро выйдем с официальным анонсом🐱
Вдохновляйся нестандартными решениями. Они тебе пригодятся: скоро кибербитва Standoff 17.
Отборочные стартуют в конце февраля, а битва пройдет в конце мая.
Настраивайся на победу — уже скоро выйдем с официальным анонсом
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥16❤11🥰7🔥4😐1
Большие технические работы ⚠️
Они пройдут в несколько этапов:
🔴 С 20:00 12 декабря до 7:00 13 декабря весь портал Standoff 365 будет недоступен.
🔴 С 20:00 12 декабря до 20:00 14 декабря не будут доступны Standoff Hackbase, Standoff Cyberbones и Standoff Defend.
Standoff Bug Bounty будет работать после 7:00 13 декабря.
За это время ты сможешь:
— выспаться,
— испытать удачу в чате,
— написать в техподдержку и спросить: «А что случилось?»🙏
Они пройдут в несколько этапов:
Standoff Bug Bounty будет работать после 7:00 13 декабря.
За это время ты сможешь:
— выспаться,
— испытать удачу в чате,
— написать в техподдержку и спросить: «А что случилось?»
Please open Telegram to view this post
VIEW IN TELEGRAM
👌9😱3❤2
Хардкорный хост от комьюнити 🖥
Команда энтузиастов из комьюнити разработала тачку уровня Hard, которая появится в одном из следующих сезонов Standoff Hackbase.
@B0rn2beR00T (Space x Pwn3dP0ss3), @ig-rudenko, @panacea, @akolbeev, @vami7ir, благодаря вам Hackbase становится насыщеннее и интереснее. Спасибо за ваш труд!
🔗 Хост особенно понравится тем, кто готов к глубокой разведке, построению сложных цепочек атак и аккуратной работе с живой инфраструктурой.
Он появится уже в следующем сезоне Standoff Hackbase — в 2026 году.
Заинтригован? Мы — да. А что будет дальше, расскажем совсем скоро.
Комьюнити уже делает крутые сервисы. Присоединяйся, чтобы создавать уникальные тачки(и войти в историю с топовым хостом) ⌨️
Подробнее о программе — на нашей платформе.
Команда энтузиастов из комьюнити разработала тачку уровня Hard, которая появится в одном из следующих сезонов Standoff Hackbase.
@B0rn2beR00T (Space x Pwn3dP0ss3), @ig-rudenko, @panacea, @akolbeev, @vami7ir, благодаря вам Hackbase становится насыщеннее и интереснее. Спасибо за ваш труд!
По легенде, уязвимый сервис моделирует серверную часть городского мессенджера и связанные с ним внутренние сервисы. Это не просто мессенджер — это современная цифровая среда для общения жителей города F: безопасные чаты, персонализированная лента новостей и удобный интерфейс.
Он появится уже в следующем сезоне Standoff Hackbase — в 2026 году.
Заинтригован? Мы — да. А что будет дальше, расскажем совсем скоро.
Комьюнити уже делает крутые сервисы. Присоединяйся, чтобы создавать уникальные тачки
Подробнее о программе — на нашей платформе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤🔥9🤔4💘3🔥1
Награждение топ-50 Standoff 365 близко 🏆
Коротко о главном:
⚫️ Сезон Ground Zero на Standoff Hackbase закончится 15 декабря в 22:00 мск — почти весь день в твоем распоряжении. Мы перенесли финал с 12:00 на 22:00, чтобы ты мог выполнить все задачи: понимаем, технические работы могли этому помешать.
⚫️ Результаты рейтинга на Standoff Bug Bounty фиксируем 15 декабря в 22:00 мск — по этим данным найдем всех, кто в топе.
⚫️ Награждение топов сезона на Standoff Hackbase и программ Standoff Bug Bounty пройдет 18 декабря. Жди прямых включений с ивента (но это не точно) 😎
Коротко о главном:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥6💘6👍2
Standoff 365
Большие технические работы ⚠️ Они пройдут в несколько этапов: 🔴 С 20:00 12 декабря до 7:00 13 декабря весь портал Standoff 365 будет недоступен. 🔴 С 20:00 12 декабря до 20:00 14 декабря не будут доступны Standoff Hackbase, Standoff Cyberbones и Standoff…
Отдыхай и набирайся сил. А завтра с 7:00 мы будем ждать тебя на Standoff Bug Bounty.
14 декабря после 20:00 все продукты будут работать в штатном режиме
Please open Telegram to view this post
VIEW IN TELEGRAM
👌6❤🔥4🥰4
Новогодний розыгрыш для багхантеров 🎁
👾 Standoff 365, Похек, Багхантер и Bugxplorer запускают праздничный конкурс с раздачей фирменного мерча. Мы знаем, как много ты охотился за багами в этом году, пора получить новогодние подарки!
Что дарим:
— футболки
— худи
— брелки
— кейкапы
В понедельник, 22 декабря в 22:00, выберем пятерых победителей на каждый канал с помощью рандомайзера и отправим подарки по России и странам СНГ.
Как участвовать:
1⃣ Быть зарегистрированным на платформе Standoff Bug Bounty.
2⃣ Подписаться на все каналы организаторов:
🔴 Standoff 365
✨ Похек
🔴 Bugxplorer
✨ Багхантер
С наступающим Новым годом! Жми кнопку, лови баги и праздничное настроение🤩
Что дарим:
— футболки
— худи
— брелки
— кейкапы
В понедельник, 22 декабря в 22:00, выберем пятерых победителей на каждый канал с помощью рандомайзера и отправим подарки по России и странам СНГ.
Как участвовать:
С наступающим Новым годом! Жми кнопку, лови баги и праздничное настроение
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤9⚡6🤡5🎅2
Что там с тачками и сезонами? 🤔
Присаживайся поудобнее, сейчас будем разбирать свежие новости.
1⃣ Возвращаем Standalone-хосты
📍 Они уже были на Standoff Hackbase, но теперь переезжают в отдельный обновленный сегмент Standalone.
📍 Хосты уже не входят в сезон: он официально закончился. Но для прокачки и в копилку достижений на платформе — самое то.
2⃣ Сохраняем прогресс
📍 Мы переносим не только хосты, но и твои прежние результаты.
Важная деталь: при переносе скорректируем баллы за уязвимости, потому что в Standalone лимит 400 баллов (в прошлом сегменте было 500). Не паникуй, если увидишь –100😱
📍 Прогресс остается, если ты выполнял задания ранее. А если впервые видишь их — дерзай решать!
3⃣ Отрасли вне сезона на Standoff Hackbase
📍 Отрасли, которые были в сезоне, доступны. Можешь тренироваться уже сейчас.
📍 Итоги сезона опубликуем 18 декабря. А после включаем режим ожидания нового — он стартует в марте 2026 года.
Ставь краба, если понял с первого раза и не сломал мозг👾
Присаживайся поудобнее, сейчас будем разбирать свежие новости.
Важная деталь: при переносе скорректируем баллы за уязвимости, потому что в Standalone лимит 400 баллов (в прошлом сегменте было 500). Не паникуй, если увидишь –100
Ставь краба, если понял с первого раза и не сломал мозг
Please open Telegram to view this post
VIEW IN TELEGRAM
👾21❤7👍6
Встречаем 25 лучших исследователей на Standoff Hackbase и Standoff Bug Bounty 🏆
Целый год хардкора и выхода на критические уровни — все ради того, чтобы поднять планку безопасности. Спасибо ребятам за каждую найденную уязвимость, за скил и преданность делу.
Никогда не сдавайся, иди до конца и покоряй топ😎
Целый год хардкора и выхода на критические уровни — все ради того, чтобы поднять планку безопасности. Спасибо ребятам за каждую найденную уязвимость, за скил и преданность делу.
Никогда не сдавайся, иди до конца и покоряй топ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥35❤23❤🔥9🤡3👍2🥰2
Радио Standoff 365 на связи 🎵
Сегодня своим плейлистом делится ccrsky:
✨ Участник команды Dataeli&only_f4st — 3-е место в кибербитве Standoff 15
✨ Ментор команды r3kapig team — 1-е место в кибербитве Standoff 16
✨ Топ-25 в сезонном рейтинге Ground Zero на Standoff Hackbase
Он точно знает, что включить, чтобы качало 🤟
Плейлист заряжен на победу на кибербитве. А послушать его и убедиться в этом можно на YouTube ⬅️
Сегодня своим плейлистом делится ccrsky:
«Хакерство — это не один вайб и не один трек. Это процесс, в котором за мгновение можно прожить несколько эмоциональных состояний: вдохновение, напряжение, концентрацию, злость, иронию и сарказм, легкость и абсурд, тишину и принятие. Это все не про стиль, это все про путь».
Он точно знает, что включить, чтобы качало 🤟
Плейлист заряжен на победу на кибербитве. А послушать его и убедиться в этом можно на YouTube ⬅️
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17💘11🥰10🔥3🌚1
Forwarded from Standoff Bug Bounty Tips
Малоизвестные техники для масштабного перечисления поддоменов 🔥
Активная DNS-разведка обычно сводится к следующему набору:
❌ хороший словарь (Assetnote, SecLists и т.д.),
❌ список «проверенных» публичных рекурсивных DNS-серверов,
❌ инструмент для массовых DNS-запросов: massdns, puredns, shuffledns.
Публичные DNS-серверы слушают UDP/53 и принимают запросы со всего интернета. Многие из них перегружены, неправильно настроены, либо намеренно возвращают ложные ответы.
Результат — шум,
Что лучше?
Запросы напрямую к авторитативному DNS-серверу почти всегда лучше, чем использование публичных рекурсивных резолверов.
Техники для глубокой разведки💃
1️⃣ ENTs и NOERROR
В DNS есть промежуточное состояние, которое большинство инструментов игнорирует: Empty Non-Terminals. Они возвращают
Отлично подходят для поиска скрытых поддеревьев и позволяют избежать бесполезного фаззинга.
2️⃣ NSEC / NSEC3 zone walking
NSEC формирует связанный список валидных имён, поэтому обход зоны тривиален с инструментами вроде ldns-walk. NSEC3 хеширует имена, но всё ещё позволяет:
▪️ собирать хешированные метки,
▪️ офлайн брутфорсить их с помощью инструментов вроде nsec3map,
▪️ восстанавливать структуру зоны.
3️⃣ ICANN CZDS
CZDS предоставляет полные файлы зон для множества gTLD. Если твой таргет использует редкий TLD, часто можно получить все домены в зоне и сразу получить качественные точки старта для перечисления.
🔗 Пост вдохновлен этой презентацией
Активная DNS-разведка обычно сводится к следующему набору:
Публичные DNS-серверы слушают UDP/53 и принимают запросы со всего интернета. Многие из них перегружены, неправильно настроены, либо намеренно возвращают ложные ответы.
Результат — шум,
NOERROR там, где должен быть NXDOMAIN, и куча мусорных поддоменов.Что лучше?
Запросы напрямую к авторитативному DNS-серверу почти всегда лучше, чем использование публичных рекурсивных резолверов.
Если тебе нужно просто резолвить список поддоменов — используй zdns. Он в целом быстрее и надёжнее , чем dnsx.
Техники для глубокой разведки
В DNS есть промежуточное состояние, которое большинство инструментов игнорирует: Empty Non-Terminals. Они возвращают
NOERROR / NODATA и незаметно показывают, какие ветки иерархии реально существуют. Отлично подходят для поиска скрытых поддеревьев и позволяют избежать бесполезного фаззинга.
NSEC формирует связанный список валидных имён, поэтому обход зоны тривиален с инструментами вроде ldns-walk. NSEC3 хеширует имена, но всё ещё позволяет:
CZDS предоставляет полные файлы зон для множества gTLD. Если твой таргет использует редкий TLD, часто можно получить все домены в зоне и сразу получить качественные точки старта для перечисления.
🔗 Пост вдохновлен этой презентацией
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11❤🔥9🔥8