Bounty On Coffee

Прошлый кальян с текущей чайной церемонией, идеальное сочетание, не ?😁

😆 Когда жизнь подбрасывает лимоны, заваривайте чай!

Подвели итоги 2024 года на нашей платформе. Не можем не отметить, как сильно выросла ваша активность.

А вот 10 багхантеров, показавших крутейшие результаты:

1️⃣r0hack
2️⃣mr4nd3r50n
3️⃣crusher
4️⃣ratel_xx
5️⃣shdw
6️⃣sergeym
7️⃣adsec2s
8️⃣BlackFan
9️⃣brain
1️⃣0️⃣Inoagent

Спасибо за упорный хантинг и поддержку!

Поздравляем топов и уже готовимся отправлять призы — чайные наборы, которые скрасят ваши уютные вечера. 

Желаем всевозможных побед и ждем новых героев в топе 2025 года ❤️

Stay tuned!

Наградили топов платформы Standoff 365 за 2024 год, поделились планами на будущее и пошли отмечать 🍻

Топ-3 Standoff Bug Bounty:

1. r0hack
2. brain
3. BlackFan

Топ-3 онлайн-полигона Standoff:

1. VeeZy
2. GorillaHacker
3. Bagley

Каждый из них получил фирменную куртку, а всего мы наградили 50 лучших исследователей (все получили подарки). В следующий раз на нашей вечеринке ждем — тебя!

На фотке (да, ИИ-фотке) — не только лишь все 📸

🕷 Команда ProjectDiscovery представила новый инструмент URLFinder, который раньше являлся частью фреймворка Katana

🧐 Что это за инструмент и зачем он нужен?

Разведка — один из самых важных этапов в процессе поиска багов. Чем эффективнее вы ее проведете, тем больше шансов найти реальные баги.

Проблема в том, что используемый вами инструмент для «обхода» целевого приложения (паук) не всегда может найти тот самый функционал, поэтому на помощь приходят URLFinder или waybackurls от багхантера Tom Hudson (tomnomnom).

URLFinder — это простой инструмент, который ориентирован на пассивное сканирование для поиска URL-адресов из источников, доступных в Интернете. Под капотом:

✔️ Специально подобранные пассивные источники для максимального всестороннего обнаружения URL-адресов.
✔️ Поддержка нескольких форматов вывода (JSON, файл, stdout) + STDIN/OUT для простой интеграции в существующие рабочие процессы.

🔥 GitHub

#инструменты

Пользуемся?

📢 То, чего ты ждал весь год! Объявляем топ-25 лучших исследователей на Standoff Bug Bounty и на онлайн-полигоне.

Если ты видишь свой ник в списке, ждем тебя в московском офисе Positive Technologies 13 декабря в 16:15. В программе — вручение призов, тусовка и афтепати в баре.

За подробностями пиши Карине.

Немного Хакерско-Ханойского вайба

Hacks 5 Hanoi все!

Закон об оборотных штрафах за утечку персональных данных принят!

Цифры такие:

- от 3 млн до 5 млн рублей, если утечка данных от 1 тыс. до 10 тыс. субъектов персданных и (или) от 10 тыс. до 100 тыс. идентификаторов;

- от 5 млн до 10 млн рублей, если утечка от 10 тыс. до 100 тыс. субъектов персданных и (или) от 100 тыс. до 1 млн идентификаторов;

- от 10 млн до 15 млн рублей, если утечка более 100 тыс. субъектов персданных и (или) более 1 млн идентификаторов;

- от 0,1% до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн рублей и не более 500 млн рублей за повторные утечки;

- до 50 млн рублей, если ежегодные расходы на обеспечение информационной безопасности не менее 1% годовой выручки;

- до 500 тыс. рублей за повторную незаконную обработку данных;

- до 2 млн рублей за обработку биометрических персданных в информсистемах госорганов без аккредитации;

- до 20 млн рублей, если действия повлекли передачу биометрических персданных;

- до 15 млн рублей за непринятие мер по обеспечению безопасности биометрических персданных при их обработке.

Кстати, сегодня будут рассматривать законопроект об оборотных штрафах за утечку перс данных.

За повторную утечку до 500млн (до 3% от выручки)

Какие мысли? Как это повлияет на рынок? 😁

Тут 5 Hacks закончился. Предварительно пока так.

1е беспощадно забрали конечно 😁

Кстати, на этот раз международный Hacks был, пятеро из РФ, остальные иностранцы (20)

27го в Ханой на очную часть.

💳 Про инъекции в JSON

JSON стал основой большинства коммуникаций API и его простота часто упускается из виду в моделях угроз. Тем не менее, в современных веб-приложениях и API-интерфейсах в конвейере запросов может использоваться несколько анализаторов, каждый со своими особенностями и уязвимостями. Расхождения между парсерами в сочетании с многоступенчатой обработкой запросов могут привести к серьезным уязвимостям.

Рассмотрим пример когда объекты JSON напрямую сериализуются в базу данных (MongoDB, Couchbase, DynamoDB, CosmosDB и т.д.) и десериализуются во внешние компоненты, которые используют разные анализаторы.

POST /user/create HTTP/1.1
...
Content-Type: application/json
{
   "user": "dana", 
   "role": "administrator"
}

HTTP/1.1 401 Not Authorized
...
Content-Type: application/json

{"Error": "Assignment of internal role 'administrator' is forbidden"}

В данном примере производится очистка входных данных, блокирующая создание администратора. Однако, если на бэке популярный в Python анализатор ujson, мы можем добавить символ Unicode, который обрежется анализатором и поможет обойти данную проверку.

POST /user/create HTTP/1.1
...
Content-Type: application/json
{
   "user": "dana", 
   "role": "administrator\ud888"
}

HTTP/1.1 200 OK
...
Content-Type: application/json

{"result": "OK: Created user ‘dana’ with the role of ‘administrator’"}

Более подробно об этом и других кейсах читайте в статье по ссылке.

#web #bypass #priveesc

Хорошее замечание сделано. В большинство случаях такой IDOR вендора отправят в INFO.

Так вот, нужно понимать, что такой вендор совсем не понимает, что такое безопасность. 😁😁

Тут можно поспорить конечно, если не найти способа получить UUID, то и нет импакта. Но в 9 из 10 таких ситуаций точно можно найти эти UUID.

На скрине даже половины способов не перечислено.

Часто бывает, что ты здесь и сейчас не можешь найти эти UUID, но при более глубоком изучении или через смежные сервисы или другие уязвимости они обязательно найдутся.

Часто эти данные могут быть доступны во внутренних сервисах, поэтому если не внешние, то внутренние пользователи могут все видеть.

Кейс:
У меня был IDOR по UUID, в момент, когда я сдал багу, вендор мне оценил его по нижней границе High и даже выплатил прям хорошо. И где-то через месяц, я смог попасть в b2b сервис и через недостаток в этом сервисе получать эти самые UUID. В итоге мне эти выплате пересчитали х2.

Поинт в том, что UUID - это вообще не защита!

Еще есть такая позиция, для тех кто не хочет брать на себя ответственность роли ТехЛида


Web Pentester (специалист по анализу защищённости приложений), ООО «Непрерывные технологии» (бренд Deteact) https://deteact.ru/

ЗП: 150-300т.р. + ежеквартальные премии по результатам работы дополнительно к окладной части (среднее +25% от зп).
Формат: удаленка

Чем предстоит заниматься:
• Анализ защищённости веб-приложений, фронтендов, API, исходного кода.
• Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий).
• При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.

Что необходимо для успешного выполнения задач:
• Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости.
• Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование).
• Умение формулировать рекомендации по исправлению багов.
• Умение корректно оценивать уровень риска уязвимостей.
• Умение оценивать актуальные для системы риски и придумывать атаки на бизнес-логику.

Будет преимуществом:
• Опыт участия в CTF.
• Опыт участия в Bug bounty.

Мы можем предложить:
• Работа удалённо, с гибким началом рабочего дня.
• Молодой и позитивный коллектив, быстрорастущая компания.
• Интересные и разноплановые задачи, способствующие профессиональному развитию.
• Время на исследования и публикации.
• Участие в конференциях и обучение.
• Отсутствие бюрократии, дресс-кода, дружную атмосферу.
• Компания аккредитована в Минцифры, поэтому доступны соответствующие плюшки.

Контакты: @Varvara_hrbp

Народ, мы тут ищем техлидов.

И в отдел внутрянки и в отдел анализа защищенности.

TechLead Pentest, ООО «Непрерывные технологии» (бренд Deteact) https://deteact.ru/

ЗП: До 400т.р. + ежеквартальные премии по результатам работы дополнительно к окладной части (среднее +25% от зп).
Формат: удаленка

Чем предстоит заниматься:
• Организация работы внутри проекта, распределение задач, определение приоритетов.
• Участие в проектах по тестированию на проникновение.
• Работа как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий).
• При желании: совместные исследования, разработка продуктов и сервисов.

Что необходимо для успешного выполнения задач:
• Опыт участия в пентестах в качестве тимлида/техлида, архитектора проекта.
• Понимание red-team killchain.
• Уверенное владение всем необходимым инструментарием, опыт его доработки, автоматизации задач.
• Понимание принципов работы основных СЗИ (WAF, IPS, IDS, EDR, NAC), способов их обхода.
• Опыт проведения фишинговых атак.

Будет преимуществом:
• Опыт участия во всех стадиях red-team активностей.
• Опыт в тестировании на территории заказчика (СКУД, BadUSB/ETH, WiFi, etc).
• Опыт публичных выступлений, написания статей.
• Наличие профессиональной сертификации (OSEP, OSCE, OSWE, etc).

Мы можем предложить:
• Работа удалённо, с гибким началом рабочего дня.
• Молодой и позитивный коллектив, быстрорастущая компания.
• Интересные и разноплановые задачи, способствующие профессиональному развитию.
• Время на исследования и публикации.
• Участие в конференциях и обучение.
• Отсутствие бюрократии, дресс-кода, дружную атмосферу.
• Компания аккредитована в Минцифры, поэтому доступны соответствующие плюшки.

Контакты: @Varvara_hrbp

😍 Đây là cơ hội của bạn để Đến Việt nam với Chúng tôi và tham gia Vào Standoff Hacks

Если ты не понял ничего, кроме Standoff Hacks, объясняем: следующий priv8-ивент для хакеров пройдет во Вьетнаме 30 ноября, и ты можешь полететь туда вместе с нами.

Как? Найди и сдай до 29 октября как можно больше багов по этим публичным программам:

• Positive Technologies (все программы)
• Standoff 365
• VK (все программы)
• Т-Банк
• Азбука вкуса
• Ozon
• Okko
• Wildberries
• Rambler&Co
• ATI.SU

2️⃣ Двоих багхантеров, которые с момента публикации поста наберут суммарно больше всего очков по этим программам, берем с собой в Ханой (за наш счет!). Трое топовых исследователей по очкам и выплатам уже в списке приглашенных, не хватает только тебя.

Будем подводить промежуточные итоги, чтобы ты видел результаты и оценивал шансы — свои и конкурентов.

Ну что? 3, 2, 1… го багхантить!

Я уже в пути 😁

⭐️Еще немного фотографий с CaspianCTF⭐️

Первый CaspianCTF завершился!

1️⃣0day
2️⃣DevOps600k
3️⃣Ibas_05
4️⃣arctf_team
5️⃣Как всегда последние
6️⃣Студия Артемия Лебедева
7️⃣Колледж ДГУ
8️⃣инвалидный синтаксис
9️⃣The Horde
1️⃣0️⃣Бинарные титаны

С 10 по 4 место команды получили мерч от DeteAct и Эрлайн

С 3 по 1 место команды получили мерч от DeteAct, Эрлайн и ДГТУ. А также денежные призы от Эрлайн и @BountyOnCoffee.

Всем участником спасибо. Пусть это станет началом чего-то большего для ИБ у нас в республике.

Итоги нашего первого организованного локального CTF.

KazHackStan 2024: Итоги

Это было просто эпично❤️‍🔥 Каждый год мне кажется, что круче уже быть не может, но ребята из TSARKA каждый раз доказывают, что может🔥

❤️ В первую очередь хочется выразить слова благодарности организаторам конференции Олжасу Сатиеву и его прекрасной жене Енлик и всей команде TSARKA за эти потрясающие 5 дней. Улкен рахмет и низкий поклон!

❤️Также спасибо всем спикерам и участникам, очень приятно было встретиться со старыми друзьями и завести новых!
Олжас на закрытии мероприятия сказал слова, которые прямо передают атмосферу KHS, когда рядом друг с другом на соседних креслах могут сидеть заместитель министра и простой студент, руководитель крупной компании и начинающий специалист и их объединяет стремление к знаниям и общая цель сделать наш мир чуточку более безопасным местом🔥

❤️Потрясающей красоты горы и природа, дружеская атмосфера и легендарное казахстанское гостеприимство🔥
Такие эмоции невозможно передать словами, это необходимо пережить самому!

До встречи на KazHackStan 2025❤️

Полностью согласен с Вадимом, было круто.

Ребята из VK придумали конечно очень хороший мотиватор в виде Bounty Pass.

Изначально относился достаточно скептически, но это было ровно до того момента пока не сдал баги.

Получать бонусами больше чем за саму багу - это конечно круто 😁. У меня пока только +40%, но есть ребята у которых уже более 100%.

Пример того, как должны выглядеть адекватные вилки критичности уязвимостей.

Максимальная выплата конечно маленькая, но если смотреть на low, medium и high, то это выше, чем у почти всех компаний у которых максимальная выплата 500к+.

Больше багов мы любим только мерч и приколы. От вас, конечно же :)

Поэтому мы сделали коллаб с легендарными стикерпаками с цитатами багбаунти-сообщества от нашего друга Влада Покровского. И с удовольствием раздадим вам получившиеся стикеры!

Чтобы их получить, нужно:

1. Быть подписанными на наш канал.
2. Быть зарегистрированными на нашей платформе.
3. Найти наших комьюнити-менеджеров @fun9ral и @Allegium на любом очном мероприятии.

Из ближайших ивентов — VolgaCTF. Количество стикеров ограничено 🪲