bug bounty

Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей. Также по некоторым направлениям будут проходить акции, сумма вознаграждения в...

Positive Technologies объявила о запуске программы Bug Bounty нового типа, которая ориентирована не на поиск чисто технических уязвимостей во внешних сервисах компании, а на реализацию действительно критического для компании события - кражи денег со счетов. "До сегодняшнего дня целью...

Внимание: Все описанные ниже действия являются вымыслом. Все совпадения случайны, соблюдайте разумность и этику! 0. Введение Эта история началась совершенно случайно. Моя жена проходила продвинутые фонетические курсы английского языка и спросила меня, можно ли скачать учебные видео, поскольку...

Всем Салам! Давно не появлялся на форуме, да и вообще нигде не писал и не выступал. Решил больше времени уделить на прокачивание хард и софт скиллов. Но теперь я решил возобновить свою активность в сети по мере возможности буду писать. Также у меня появился канал в телеграм, где я публикую...

Привет всем! Буквально 2 дня назад Gitlab раскрыли мой отчёт о хранимой xss посредством prototype pollution. Как думаете стоит написать статью и если да, на что стоит обратить внимание в статье? До этого не писал статей такого типа поэтому интересуюсь.

Привет, Codeby! Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty. Я решил не соваться на HackerOne, а зарегистрировался на платформе попроще и поменьше, называется Intigriti, которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал...

Segment ежедневно получает миллиарды запросов от тысяч клиентов, которые доверяют Segment безопасность своих данных. В Segment мы считаем, что хорошая безопасность является неотъемлемой частью создания высококачественного программного обеспечения, аналогичного надежности или масштабируемости. В...

Всем Салам. Эта статья является неким дополнением и продолжением этой статьи BruteForce, как недооцененный вид атаки (Account TakeOver) Предисловие Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми...

Всем привет Кто выводил деньги с hackerone, расскажите пожалуйста как это сделать в РФ. Если конкретно, меня интересует: 1. Нужно ли для этого регистрировать ИП 2.PayPal или банковский перевод? Почему? Если скинете ссылку где про это написано, буду благодарен. Спасибо заранее, если ответите хотя...

Всем Салам. Много времени прошло с начала первой части. В последнее время не было желания вообще что-либо написать. И за этот период накопилось очень много, разных и интересных кейсов из Bug Bounty. Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А...

Статья является переводом. Оригинал вот тут TL;DR: "Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty ". В этой статье мы обсудим несколько примеров, чтобы донести главную идею о том, что если вы думаете ограниченно, то вы и будете ограниченными. Использование Bug bounty ухудшило...

Всем Салам. Поздней ночью начну писать свой блог, надеюсь он будет бесконечным)). Суть блога в том, что я буду тут описывать баги, которые я находил на HackerOne, возможно и на других платформах. Такой формат думаю многим будет интересен. Особенно тем кто хочет начать этим заниматься или уже...

Конкурс: Встречаем 2020 статьями по инфобезу. Вступление В данной статье хотел бы рассказать о том, как я искал уязвимости в web приложении. Речь пойдёт о довольно не популярной уязвимости - Denial of Service. Эксплуатируя уязвимости данного типа можно "парализовать" сервер, не позволяя ему...

Доброго времени суток! Сегодня я хочу рассказать об утилите, которая помогает при тесте на проникновение и ловли багов. Речь пойдет о Chomp scan Данная утилита помогает автоматизировать, иногда утомительные, процессы разведки, при этом объединив самые быстрые и эффективные утилиты. Теперь нет...

Добрый день. 1. Каким nmap стучать? nmap -A ... or nmap -sS -O -Pn -sV -vv -n -oA test --spoof-mac 0 -p 0-65535 ip.address еще, почему-то в последнее время такая команда не работает из-за строки --spoof-mac 0 что-то поменялось в nmap? 2. Т.к. опыт только в CTF, то есть вопрос, реальные сайты...

Добрый день, В рамках знакомства с сайтом, к сожалению, было обнаружено несколько уязвимостей. 1) Подскажите, пожалуйтса куда, а может и кому, необходимо о них сообщать. 2) В виду монетизации форума, предоставляется ли вознаграждения по bug bounty программе за раскрытие информацию о...