• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

bug bounty

  1. apache2

    Статья [Authentication Vulnerability] Перебор имён пользователей

    Привет, это сегодня расскажу как можно пройти лабораторию "Username enumeration via response timing" от portswigger. План статьи: 1) Введение - теория, узнаем как перебирать имена пользователя если мы не нашли разницу в длине ответа и в кодах ответа. Узнаем что такое X-Forwarded-For и как его...
  2. CatWithBlueHat

    Статья WebSocket. Краткий экскурс в пентест ping-pong протокола

    https://codeby.one/ "Краткость - сестра таланта" - именно так сказал Антон Павлович Чехов, и теперь говорю я. Сегодня, завтра и до конца дней площадки речь пойдет о WebSocket-ах: "Что это?", "Как работает?" и главное - "Как это взламывать?" (в целях этичного хакинга конечно). Начнем с...
  3. Sultan Mahmudov

    Вакансия Аудитор Pentest | Penetration Testing Engineer

    Мы — создатели одной из самых быстрых транспортно-логистических сетей в России и интернет-магазинов на собственной платформе. Это не стартапы — это продуктовая разработка в уже действующих проектах. Mag Development - аккредитованная IT-компания. Работать можно дистанционно или в одном из наших...
  4. Codeby News

    News Багбаунти на Госуслугах

    Минцифры запустил проект по поиску уязвимостей на Госуслугах. Программа будет проходить в несколько этапов. На первом этапе планируется проверить портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На последующих этапах будет расширен список ресурсов и обновлены условия...
  5. У

    Вопрос про заработок на bug bounty standoff 365 и проблемы с законом

    Вот это платформа поиска уязвимостей. Компании размещают предложение о поиске уязвимостей на их сайтах, ресурсах https://bugbounty.standoff365.com/ Но такая проблема, у меня нет документов о том, что я специалист по поиску уязвимостей. Я ещё учусь, поэтому и нет документов. Поэтому, если...
  6. Codeby News

    News Яндекс увеличит награду за уязвимости в 2 раза

    Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей. Также по некоторым направлениям будут проходить акции, сумма вознаграждения в...
  7. Codeby News

    News Positive Technologies запустила необычную программу Bug Bounty с вознаграждением в 10млн рублей!

    Positive Technologies объявила о запуске программы Bug Bounty нового типа, которая ориентирована не на поиск чисто технических уязвимостей во внешних сервисах компании, а на реализацию действительно критического для компании события - кражи денег со счетов. "До сегодняшнего дня целью...
  8. BearSec

    Статья Как я пытался сдать баги российской компании без BB и чем это закончилось

    Внимание: Все описанные ниже действия являются вымыслом. Все совпадения случайны, соблюдайте разумность и этику! 0. Введение Эта история началась совершенно случайно. Моя жена проходила продвинутые фонетические курсы английского языка и спросила меня, можно ли скачать учебные видео, поскольку...
  9. r0hack

    Статья Блог начинающего Bug Хантера. История о том, как я стал таксистом и заработал более $40к. Часть 4

    Всем Салам! Давно не появлялся на форуме, да и вообще нигде не писал и не выступал. Решил больше времени уделить на прокачивание хард и софт скиллов. Но теперь я решил возобновить свою активность в сети по мере возможности буду писать. Также у меня появился канал в телеграм, где я публикую...
  10. misha98857

    Стоит ли писать статью о моём раскрытом отчёте hackerone на 3000$?

    Привет всем! Буквально 2 дня назад Gitlab раскрыли мой отчёт о хранимой xss посредством prototype pollution. Как думаете стоит написать статью и если да, на что стоит обратить внимание в статье? До этого не писал статей такого типа поэтому интересуюсь.
  11. larchik

    Заметка Немного о Bug Bounty, SSRF, CRLF и XSS

    Привет, Codeby! Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty. Я решил не соваться на HackerOne, а зарегистрировался на платформе попроще и поменьше, называется Intigriti, которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал...
  12. g00db0y

    Статья Как мы запускаем нашу bug bounty программу в Segment

    Segment ежедневно получает миллиарды запросов от тысяч клиентов, которые доверяют Segment безопасность своих данных. В Segment мы считаем, что хорошая безопасность является неотъемлемой частью создания высококачественного программного обеспечения, аналогичного надежности или масштабируемости. В...
  13. r0hack

    Статья Блог начинающего Bug Хантера. Уязвимости при SMS-аутентификации + Кейсы. Часть 3.1

    Всем Салам. Эта статья является неким дополнением и продолжением этой статьи BruteForce, как недооцененный вид атаки (Account TakeOver) Предисловие Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми...
  14. ilyh

    Вывод денег с Hackerone

    Всем привет Кто выводил деньги с hackerone, расскажите пожалуйста как это сделать в РФ. Если конкретно, меня интересует: 1. Нужно ли для этого регистрировать ИП 2.PayPal или банковский перевод? Почему? Если скинете ссылку где про это написано, буду благодарен. Спасибо заранее, если ответите хотя...
  15. r0hack

    Статья Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2

    Всем Салам. Много времени прошло с начала первой части. В последнее время не было желания вообще что-либо написать. И за этот период накопилось очень много, разных и интересных кейсов из Bug Bounty. Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А...
  16. g00db0y

    Статья Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty

    Статья является переводом. Оригинал вот тут TL;DR: "Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty ". В этой статье мы обсудим несколько примеров, чтобы донести главную идею о том, что если вы думаете ограниченно, то вы и будете ограниченными. Использование Bug bounty ухудшило...
  17. r0hack

    Статья Блог начинающего Bug Хантера. Начало. Часть 1

    Всем Салам. Поздней ночью начну писать свой блог, надеюсь он будет бесконечным)). Суть блога в том, что я буду тут описывать баги, которые я находил на HackerOne, возможно и на других платформах. Такой формат думаю многим будет интересен. Особенно тем кто хочет начать этим заниматься или уже...
  18. K

    Конкурс Как я нашёл уязвимость в хорошо защищённом web приложении

    Конкурс: Встречаем 2020 статьями по инфобезу. Вступление В данной статье хотел бы рассказать о том, как я искал уязвимости в web приложении. Речь пойдёт о довольно не популярной уязвимости - Denial of Service. Эксплуатируя уязвимости данного типа можно "парализовать" сервер, не позволяя ему...
  19. g00db0y

    Soft Chomp scan - Утилита которая помогает при пентесте

    Доброго времени суток! Сегодня я хочу рассказать об утилите, которая помогает при тесте на проникновение и ловли багов. Речь пойдет о Chomp scan Данная утилита помогает автоматизировать, иногда утомительные, процессы разведки, при этом объединив самые быстрые и эффективные утилиты. Теперь нет...
  20. M

    подскажите начинающему в Bug Bounty

    Добрый день. 1. Каким nmap стучать? nmap -A ... or nmap -sS -O -Pn -sV -vv -n -oA test --spoof-mac 0 -p 0-65535 ip.address еще, почему-то в последнее время такая команда не работает из-за строки --spoof-mac 0 что-то поменялось в nmap? 2. Т.к. опыт только в CTF, то есть вопрос, реальные сайты...