Forwarded from Bimbosecurity
Масюш моя астрологиня говорит что у тебя в отчетах дубли постоянно это потому что ты в прошлой жизни сам был вулной 🪲 🤑 🃏 💰
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
У тебя есть 24 часа… #meme
👍4
Манипуляции со стоимостью товара/ценой.
https://blog.intigriti.com/2024/02/05/top-5-common-price-manipulation-vulnerabilities/
https://blog.intigriti.com/2024/02/05/top-5-common-price-manipulation-vulnerabilities/
👍4
VK BUG BOUNTY: MEET UP
18 апреля, Москва.
Любой багхантер, приславший 4 и более оплачиваемых отчета в срок с 12 февраля по 11 апреля получит приглашение на мероприятие. Хорошая возможность заработать денег и пообщаться с коллегами по багхантингу.
И еще одна хорошая новость - повышение выплат в программах VK Play, Чемпионаты VK, VK Реклама, VK Pay и Оператор рекламных данных.
Ломай, зарабатывай и приезжай на ивент!
18 апреля, Москва.
Любой багхантер, приславший 4 и более оплачиваемых отчета в срок с 12 февраля по 11 апреля получит приглашение на мероприятие. Хорошая возможность заработать денег и пообщаться с коллегами по багхантингу.
И еще одна хорошая новость - повышение выплат в программах VK Play, Чемпионаты VK, VK Реклама, VK Pay и Оператор рекламных данных.
Ломай, зарабатывай и приезжай на ивент!
👍6
Forwarded from Bimbosecurity
Алло, мась, ты где? В кальянной?… Не знала, что вы созрели до выхода на багбаунти…
Forwarded from DC7831 Info Channel (Wire Snark)
Открыта регистрация на нашу 5-ю конференцию Дефкон Нижний Новгород. Напоминаем, что она пройдет 24-25 февраля 2024 года во втором корпусе ННГУ по адресу Нижний Новгород, проспект Гагарина, 23к2. Краткая программа представлена ниже, подробнее можно прочитать на сайте https://defcon-nn.ru.
24 февраля, суббота
Главная сцена
09:30 Прибытие участников
10:20 Открытие конференции // Приветственное слово от DC7831
10:40 Как работает квантовый компьютер и причём тут Ибэ // Константин Евдокимов, [MIS]Team, Москва
11:20 (Не)безопасная безопасность // Алексей Федулаев, DevSecOps Team Lead в Wildberries, Москва
12:20 Секретный доклад // Борис "dukeBarman", Яндекс, Санкт-Петербург
13:00 Концепт сети Florete: летающий Интернет будущего // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
14:40 СВЧ-антенны в авиационных системах высокоскоростной передачи данных // Даниил Литовский, инженер, и Марина Манахова, ведущий инженер в НПП «Прима», Нижний Новгород
15:00 Sub-GHz дельфина: большой обзор модулей и антенн для Flipper Zero // Роман Ананьев и Антон Дурнов, DC78422, Ульяновск (при содействии FlipperAddons.com)
15:40 RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP // Александр Вир, независимый исследователь, Москва
16:40 Как и зачем знать свой внешний периметр наравне с хакерами? // Илья Коцюба, исследователь/red team/purple team, threat intelligence
17:20 За границей osint // Скалли, независимый исследователь
18:00 Подведение итогов первого дня
19:00 Afteparty
Аудитория 310: воркшопы
11:00 Воркшоп по Air gap // Алиса, независимый исследователь, Москва
14:40 Как сделать контейнеры и работу с ними безопасными // Анатолий "rusdacent", Luntry, Санкт-Петербург
17:20 Актуальные вопросы и проблемы ИБ (закрытый круглый стол) // Константин Евдокимов, [MIS]Team, Москва и Илья Коцюба, исследователь/red team/purple team, threat intelligence
Аудитория 314: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
25 февраля, воскресенье
Главная сцена
10:20 Прибытие участников
11:00 Опыт разработки оркестратора микросервисов для встроенных систем forc // Денис Королёв, инженер-программист в YADRO, Нижний Новгород и Николай Фадеев, инженер-программист в НПП "Прима", Нижний Новгород
11:20 Никто не боится D-Bus // Альберто Мардеган, ведущий разработчик в компании "Открытая мобильная платформа", Санкт-Петербург
12:00 Опыт разработки библиотеки представления и кодирования структурированных данных libucode // Вячеслав Капля, инженер-программист в НПП "Прима", Нижний Новгород
12:40 Уязвимые API: приёмы и эксплуатация // Павел Степанов, независимый исследователь, Тула
14:20 Развитие фриланса в ИБ: вклад Bug Bounty платформ // Алексей Гришин, CPO CICADA8 команды инноваций МТС, Москва и Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, Москва
15:00 Вредные советы для руководителя, или Как завалить любой ИТ-проект // Егор Харченко, Лаборатория Касперского
15:40 Как масштабировать команду без тимлидов: опыт плоской организации в миниатюре // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
16:00 Закрытие конференции
Аудитория 310: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
24 февраля, суббота
Главная сцена
09:30 Прибытие участников
10:20 Открытие конференции // Приветственное слово от DC7831
// блок keynotes10:40 Как работает квантовый компьютер и причём тут Ибэ // Константин Евдокимов, [MIS]Team, Москва
11:20 (Не)безопасная безопасность // Алексей Федулаев, DevSecOps Team Lead в Wildberries, Москва
12:20 Секретный доклад // Борис "dukeBarman", Яндекс, Санкт-Петербург
13:00 Концепт сети Florete: летающий Интернет будущего // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
// блок hardware & tinkering 14:40 СВЧ-антенны в авиационных системах высокоскоростной передачи данных // Даниил Литовский, инженер, и Марина Манахова, ведущий инженер в НПП «Прима», Нижний Новгород
15:00 Sub-GHz дельфина: большой обзор модулей и антенн для Flipper Zero // Роман Ананьев и Антон Дурнов, DC78422, Ульяновск (при содействии FlipperAddons.com)
15:40 RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP // Александр Вир, независимый исследователь, Москва
// блок intelligence16:40 Как и зачем знать свой внешний периметр наравне с хакерами? // Илья Коцюба, исследователь/red team/purple team, threat intelligence
17:20 За границей osint // Скалли, независимый исследователь
18:00 Подведение итогов первого дня
19:00 Afteparty
Аудитория 310: воркшопы
// блок security & tinkering11:00 Воркшоп по Air gap // Алиса, независимый исследователь, Москва
// блок security 14:40 Как сделать контейнеры и работу с ними безопасными // Анатолий "rusdacent", Luntry, Санкт-Петербург
17:20 Актуальные вопросы и проблемы ИБ (закрытый круглый стол) // Константин Евдокимов, [MIS]Team, Москва и Илья Коцюба, исследователь/red team/purple team, threat intelligence
Аудитория 314: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
25 февраля, воскресенье
Главная сцена
10:20 Прибытие участников
// блок software11:00 Опыт разработки оркестратора микросервисов для встроенных систем forc // Денис Королёв, инженер-программист в YADRO, Нижний Новгород и Николай Фадеев, инженер-программист в НПП "Прима", Нижний Новгород
11:20 Никто не боится D-Bus // Альберто Мардеган, ведущий разработчик в компании "Открытая мобильная платформа", Санкт-Петербург
12:00 Опыт разработки библиотеки представления и кодирования структурированных данных libucode // Вячеслав Капля, инженер-программист в НПП "Прима", Нижний Новгород
// блок security 12:40 Уязвимые API: приёмы и эксплуатация // Павел Степанов, независимый исследователь, Тула
14:20 Развитие фриланса в ИБ: вклад Bug Bounty платформ // Алексей Гришин, CPO CICADA8 команды инноваций МТС, Москва и Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, Москва
// блок management15:00 Вредные советы для руководителя, или Как завалить любой ИТ-проект // Егор Харченко, Лаборатория Касперского
15:40 Как масштабировать команду без тимлидов: опыт плоской организации в миниатюре // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
16:00 Закрытие конференции
Аудитория 310: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
Google Docs
Регистрация на конференцию DEFCON Нижний Новгород
- если вам понадобится розетка, просим по возможности захватить свой удлинитель/сетевой фильтр
👍5
https://portswigger.net/research/top-10-web-hacking-techniques-of-2023
Top 10 техник веб-хакинга'23 от Portswigger.
Top 10 техник веб-хакинга'23 от Portswigger.
PortSwigger Research
Top 10 web hacking techniques of 2023
Welcome to the Top 10 Web Hacking Techniques of 2023, the 17th edition of our annual community-powered effort to identify the most innovative must-read web security research published in the last year
👍1
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Как часто вы находите что-то в #bugbounty?
👍4
Forwarded from Багхантер
YouTube
Начинаем в багбаунти
Как начать багхантить? Расскажет Юрий Ряднина ака сircuit!
Юра вот уже как 10 лет багхантер, а также создатель телеграм-канала «Багхантер», спикер и автор мема про «сотни, а может быть даже тысячи багхантеров». И любитель Бритни Спирс.
А теперь подробнее…
Юра вот уже как 10 лет багхантер, а также создатель телеграм-канала «Багхантер», спикер и автор мема про «сотни, а может быть даже тысячи багхантеров». И любитель Бритни Спирс.
А теперь подробнее…
👍5
Forwarded from Bounty On Coffee
Как я выбираю программу для взлома?
Есть несколько вещей, которые я учитываю при выборе программы.
1️⃣ . Сумма выплат
2️⃣ . Интересный скоуп (это субъективно, для меня - это то чем я пользуюсь в повседневной жизни)
3️⃣ . Сложный или уникальный скоуп
4️⃣ . Дырявое приложение
5️⃣ . Быстрота обработки репортов (с момента сдачи до выплаты (фикса))
6️⃣ . Соответствие ожиданий, ваших и вендора
Все эти пункты учитываются по разному в зависимости от ситуации, а именно:
❗️ Новая программа
В данной ситуации в первую очередь смотрю на скоуп, внешку обычно никогда не рассматриваю, как цель.
➖ Интересный скоуп - если это вендор, которым я пользуюсь в повседневной жизни, например, Тинькофф
➖ Сложное или дырявое приложение. Для этого поверхностно изучаю приложение, читаю документацию, смотрю что можно сделать и быстро прикидываю вектора атак для приложения.
➖ И в последнюю очередь обычно смотрю на сумму выплат. Но если разница в выплатах существенная, то в приоритет конечно же ставлю ту, где выплаты больше. Но на данных момент у большинства программ максимальные выплаты до 250к и разница не существенная, кроме нескольких.
❗️ Программа, которую уже ломали
В данной ситуации алгоритм действия немного отличается.
➖ Соответствие ожиданий. Тут имеется ввиду, что вас устраивает, то что предлагает программа. Например, программа предлагает за RCE - 1кк, за SQLi - 100к, за IDOR - 50к. Такое меня не устраивает, так как не соответствует моему способу поиска багов.
➖ Быстрота обработки репортов. Долгая обработка репортов лично меня очень сильно раздражает, если на то нет причин, которые не зависят от программы. Поэтому такие программы сразу мимо.
➖ И дальше уже учитываю - сумму выплат, интересный/сложный/дырявый скоуп.
А как выбираете Вы ?
#bugbounty #strategic
Есть несколько вещей, которые я учитываю при выборе программы.
Все эти пункты учитываются по разному в зависимости от ситуации, а именно:
В данной ситуации в первую очередь смотрю на скоуп, внешку обычно никогда не рассматриваю, как цель.
В данной ситуации алгоритм действия немного отличается.
А как выбираете Вы ?
#bugbounty #strategic
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Forwarded from Волосатый бублик
#cloudflare #bypass
Сначала хотел что то написать умное, с эпитетами и красивыми речевыми оборотами, но знаю что вы все равно всю эту воду читать не будете, поэтому кратко:
Cloudflare Workers ходит в интернет с тех же IP адресов, которые часто рекомендуют добавлять в фаерволах как разрешенные, а остальные блокировать.
Итого: Если у вас есть сайт за Cloudflare, вы точно знаете его реальный IP, но мешает вам к нему обратиться правило фаервола, смело пишите Worker. Пример есть в документации и обходите WAF-Ы, воруйте, убивайте и любите гусей!
Возможно я изобрел велосипед, возможно нужно было писать в Cloudflare и получить "фифти бакс, сир, плиз...", но мне лень!
———
UPD:
1) Напрямую по IP ходить нельзя. Поднимайте на своем DNS сервере A запись на целевой IP
2) Добавьте Header "Host" к вашим запросам.
Сначала хотел что то написать умное, с эпитетами и красивыми речевыми оборотами, но знаю что вы все равно всю эту воду читать не будете, поэтому кратко:
Cloudflare Workers ходит в интернет с тех же IP адресов, которые часто рекомендуют добавлять в фаерволах как разрешенные, а остальные блокировать.
Итого: Если у вас есть сайт за Cloudflare, вы точно знаете его реальный IP, но мешает вам к нему обратиться правило фаервола, смело пишите Worker. Пример есть в документации и обходите WAF-Ы, воруйте, убивайте и любите гусей!
Возможно я изобрел велосипед, возможно нужно было писать в Cloudflare и получить "фифти бакс, сир, плиз...", но мне лень!
———
UPD:
1) Напрямую по IP ходить нельзя. Поднимайте на своем DNS сервере A запись на целевой IP
2) Добавьте Header "Host" к вашим запросам.
👍4