• 4 июля стартует курс «Python для Пентестера ©» от команды The Codeby

    Понятные и наглядные учебные материалы с информацией для выполнения ДЗ; Проверка ДЗ вручную – наставник поможет улучшить написанный вами код; Помощь преподавателей при выполнении заданий или в изучении теории; Групповой чат в Telegram с другими учениками, проходящими курс; Опытные разработчики – команда Codeby School, лидер по информационной безопасности в RU-сегменте

    Запись на курс до 15 июля. Подробнее ...

  • 11 июля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 20 июля. Подробнее ...

bug bounty

  1. Q

    Bug Hunting for Newbie

    Приветствую! Так как на форуме нет соответствующих разделов (предложения или кооперация) пишу сюда. Друзья, появилась острая необходимость кооперироваться с кем-то в ББ, так как очень тяжко когда не у кого спросить куда вообще ты попал))) Суть кооперации: - Создается группа в телеге Bug...
  2. BearSec

    Статья Как я пытался сдать баги российской компании без BB и чем это закончилось

    Внимание: Все описанные ниже действия являются вымыслом. Все совпадения случайны, соблюдайте разумность и этику! 0. Введение Эта история началась совершенно случайно. Моя жена проходила продвинутые фонетические курсы английского языка и спросила меня, можно ли скачать учебные видео, поскольку...
  3. r0hack

    Статья Блог начинающего Bug Хантера. История о том, как я стал таксистом и заработал более $40к. Часть 4

    Всем Салам! Давно не появлялся на форуме, да и вообще нигде не писал и не выступал. Решил больше времени уделить на прокачивание хард и софт скиллов. Но теперь я решил возобновить свою активность в сети по мере возможности буду писать. Также у меня появился канал в телеграм, где я публикую...
  4. misha98857

    Стоит ли писать статью о моём раскрытом отчёте hackerone на 3000$?

    Привет всем! Буквально 2 дня назад Gitlab раскрыли мой отчёт о хранимой xss посредством prototype pollution. Как думаете стоит написать статью и если да, на что стоит обратить внимание в статье? До этого не писал статей такого типа поэтому интересуюсь.
  5. larchik

    Заметка Немного о Bug Bounty, SSRF, CRLF и XSS

    Привет, Codeby! Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty. Я решил не соваться на HackerOne, а зарегистрировался на платформе попроще и поменьше, называется Intigriti, которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал...
  6. g00db0y

    Статья Как мы запускаем нашу bug bounty программу в Segment

    Segment ежедневно получает миллиарды запросов от тысяч клиентов, которые доверяют Segment безопасность своих данных. В Segment мы считаем, что хорошая безопасность является неотъемлемой частью создания высококачественного программного обеспечения, аналогичного надежности или масштабируемости. В...
  7. r0hack

    Статья Блог начинающего Bug Хантера. Уязвимости при SMS-аутентификации + Кейсы. Часть 3.1

    Всем Салам. Эта статья является неким дополнением и продолжением этой статьи BruteForce, как недооцененный вид атаки (Account TakeOver) Предисловие Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми...
  8. ilyh

    Вывод денег с Hackerone

    Всем привет Кто выводил деньги с hackerone, расскажите пожалуйста как это сделать в РФ. Если конкретно, меня интересует: 1. Нужно ли для этого регистрировать ИП 2.PayPal или банковский перевод? Почему? Если скинете ссылку где про это написано, буду благодарен. Спасибо заранее, если ответите хотя...
  9. r0hack

    Статья Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2

    Всем Салам. Много времени прошло с начала первой части. В последнее время не было желания вообще что-либо написать. И за этот период накопилось очень много, разных и интересных кейсов из Bug Bounty. Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А...
  10. g00db0y

    Статья Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty

    Статья является переводом. Оригинал вот тут TL;DR: "Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty ". В этой статье мы обсудим несколько примеров, чтобы донести главную идею о том, что если вы думаете ограниченно, то вы и будете ограниченными. Использование Bug bounty ухудшило...
  11. r0hack

    Статья Блог начинающего Bug Хантера. Начало. Часть 1

    Всем Салам. Поздней ночью начну писать свой блог, надеюсь он будет бесконечным)). Суть блога в том, что я буду тут описывать баги, которые я находил на HackerOne, возможно и на других платформах. Такой формат думаю многим будет интересен. Особенно тем кто хочет начать этим заниматься или уже...
  12. K

    Конкурс Как я нашёл уязвимость в хорошо защищённом web приложении

    Конкурс: Встречаем 2020 статьями по инфобезу. Вступление В данной статье хотел бы рассказать о том, как я искал уязвимости в web приложении. Речь пойдёт о довольно не популярной уязвимости - Denial of Service. Эксплуатируя уязвимости данного типа можно "парализовать" сервер, не позволяя ему...
  13. g00db0y

    Soft Chomp scan - Утилита которая помогает при пентесте

    Доброго времени суток! Сегодня я хочу рассказать об утилите, которая помогает при тесте на проникновение и ловли багов. Речь пойдет о Chomp scan Данная утилита помогает автоматизировать, иногда утомительные, процессы разведки, при этом объединив самые быстрые и эффективные утилиты. Теперь нет...
  14. M

    подскажите начинающему в Bug Bounty

    Добрый день. 1. Каким nmap стучать? nmap -A ... or nmap -sS -O -Pn -sV -vv -n -oA test --spoof-mac 0 -p 0-65535 ip.address еще, почему-то в последнее время такая команда не работает из-за строки --spoof-mac 0 что-то поменялось в nmap? 2. Т.к. опыт только в CTF, то есть вопрос, реальные сайты...
  15. A

    Куда сообщать об уязвимостях на codeby?

    Добрый день, В рамках знакомства с сайтом, к сожалению, было обнаружено несколько уязвимостей. 1) Подскажите, пожалуйтса куда, а может и кому, необходимо о них сообщать. 2) В виду монетизации форума, предоставляется ли вознаграждения по bug bounty программе за раскрытие информацию о...