VK Bug Bounty — 10 лет!
А это значит, что в этом году все будет иначе! Встречайте Bounty pass, ограниченные по времени ивенты с собственными тематиками и правилами.
Итак, что нас ждет в самое ближайшее время:
С 21 апреля по 21 июля стартует Bounty pass #1: Progress.
Ищите уязвимости в программах VK, присылайте отчеты о них и заполняйте шкалу прогресс-бара. На ней отображается общая сумма выплат по программам VK со всех российских багбаунти-платформ. Как только эта сумма достигнет очередной отметки, откроется новое событие для всех участников – новая программа, повышенные выплаты и многое другое.
А еще всех ждет накопительный бонус! Каждый оплачиваемый отчет, который вы сдадите в рамках Bounty pass #1: Progress, будет увеличивать вашу выплату на 5%. То есть за 3 оплачиваемых отчета вы получите плюс 15% к вознаграждению за уязвимость, а за пять – 25% соответственно.
Все подробности о новых механиках VK Bug Bounty ищите на сайте https://bugbounty.vk.company/
А это значит, что в этом году все будет иначе! Встречайте Bounty pass, ограниченные по времени ивенты с собственными тематиками и правилами.
Итак, что нас ждет в самое ближайшее время:
С 21 апреля по 21 июля стартует Bounty pass #1: Progress.
Ищите уязвимости в программах VK, присылайте отчеты о них и заполняйте шкалу прогресс-бара. На ней отображается общая сумма выплат по программам VK со всех российских багбаунти-платформ. Как только эта сумма достигнет очередной отметки, откроется новое событие для всех участников – новая программа, повышенные выплаты и многое другое.
А еще всех ждет накопительный бонус! Каждый оплачиваемый отчет, который вы сдадите в рамках Bounty pass #1: Progress, будет увеличивать вашу выплату на 5%. То есть за 3 оплачиваемых отчета вы получите плюс 15% к вознаграждению за уязвимость, а за пять – 25% соответственно.
Все подробности о новых механиках VK Bug Bounty ищите на сайте https://bugbounty.vk.company/
👍5👎1
Forwarded from S.E.Reborn
• Очень информативное руководство по Bug Bounty, которое содержит полезные инструменты, лабы, ресерчи, кейсы из жизни и еще очень много полезных ссылок.
#BB
Please open Telegram to view this post
VIEW IN TELEGRAM
Security Breached Blog
Bug Bounty Blueprint: A Beginner's Guide
This guide is a must-read for beginners to dive into Bug Bounty Hunting. It provides foundational skills, tips, tools, and resources for Bug Bounty Hunters. I've covered various aspects including vulnerabilities and learning resources. Are you ready to embark…
👍3
Forwarded from Path Secure (CuriV)
Привет!
Я проводил множество собесов для админов и пентестеров, менторил несколько человек по разным аспектам наступательной информационной безопасности, сам участвовал в собесах. Мне нравится как разные вопросы позволяют пролить свет на глубину знаний человека в той или иной области.
Решил создать и курировать репозиторий с вопросами по наступательной безопасности на русском языке. Почему-то я не нашел такой репозиторий сразу. На английском языке таких огромное колличество и все они имею свои плюсы и минусы.
Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения. Хороший интервьюер всегда задаст более глубокий и уточняющий вопрос, а соискателю будет невероятно полезно осознавать что еще ему стоит подучить или хотя бы иметь ввиду.
Проект является личной инициативой и несет в себе исключительно альтруистические цели. Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов мне в личку в телеге (@curiv). Порядок вопросов и их категория носят субъективный характер. Репозиторий будет наполняться с течением времени, список источников представлен в последнем разделе. Вопросы будут агрегироваться из источников, список источников также будет пополняться. Если оставите положительные реакции, то мне будет приятно ❤️
https://github.com/curiv/russian-offensive-security-questions
#pentest #interview #repository
Я проводил множество собесов для админов и пентестеров, менторил несколько человек по разным аспектам наступательной информационной безопасности, сам участвовал в собесах. Мне нравится как разные вопросы позволяют пролить свет на глубину знаний человека в той или иной области.
Решил создать и курировать репозиторий с вопросами по наступательной безопасности на русском языке. Почему-то я не нашел такой репозиторий сразу. На английском языке таких огромное колличество и все они имею свои плюсы и минусы.
Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения. Хороший интервьюер всегда задаст более глубокий и уточняющий вопрос, а соискателю будет невероятно полезно осознавать что еще ему стоит подучить или хотя бы иметь ввиду.
Проект является личной инициативой и несет в себе исключительно альтруистические цели. Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов мне в личку в телеге (@curiv). Порядок вопросов и их категория носят субъективный характер. Репозиторий будет наполняться с течением времени, список источников представлен в последнем разделе. Вопросы будут агрегироваться из источников, список источников также будет пополняться. Если оставите положительные реакции, то мне будет приятно ❤️
https://github.com/curiv/russian-offensive-security-questions
#pentest #interview #repository
GitHub
GitHub - curiv/russian-offensive-security-questions: Репозиторий содержит список вопросов по наступальной безопасности.
Репозиторий содержит список вопросов по наступальной безопасности. - GitHub - curiv/russian-offensive-security-questions: Репозиторий содержит список вопросов по наступальной безопасности.
👍15
Forwarded from Яндекс | Охота за ошибками
Объявляем старт конкурса «Автостопом по галактике», где предлагаем поохотиться на ошибки в популярных приложениях Яндекса.
Подробности конкурса можно найти тут.
P. S. Как и всегда, используйте только тестовые учётные записи, реальных пользователей атаковать нельзя)
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Bounty On Coffee
aszx87410.github.io
About This Series | Beyond XSS
As a software engineer, you must be familiar with information security. In your work projects, you may have gone through security audits, including static code scanning, vulnerability scanning, or penetration testing. You may have even done more comprehensive…
👍3
Дальше - больше! Так держать!
Please open Telegram to view this post
VIEW IN TELEGRAM
bugbounty.vk.company.ru
VK Bug Bounty — программа вознаграждений за обнаружение уязвимостей
Присоединяйтесь к программе VK Bug Bounty и получайте вознаграждения за обнаружение уязвимостей в сервисах VK. Накопительные бонусы, отсутствие лимитов на выплаты и уникальные программы лояльности для багхантеров.
👍6👎2
Вот мы и подошли к заветной отметке в 4 млн на шкале Bounty pass #1: Progress, а значит, что вам уже открылся очередной бонус! И это новая программа - VK Education! В ней максимальное вознаграждение - 360К рублей, проверяйте все условия на bugbounty.ru.
Еще из приятных новостей от VK: до 21 июля VK делает х2 на все уязвимости в программе "Оператор рекламных данных" и теперь можно получить до 720К рублей.
Время озолотиться!
Еще из приятных новостей от VK: до 21 июля VK делает х2 на все уязвимости в программе "Оператор рекламных данных" и теперь можно получить до 720К рублей.
Время озолотиться!
👍5
Forwarded from Яндекс | Охота за ошибками
Представляем вам Зал славы 2.0
😯 Теперь за каждую подтверждённую уязвимость вы получаете очки и попадаете в таблицу лидеров!
Долгое время Зал славы был простым списком багхантеров с наградами за репорт. Мы решили обновить Зал славы так, чтобы нахождение в нём стало более почётно и носило соревновательный характер, а имя багхантера стало заметнее.
В Зале славы 2.0 топ «охотников» будет составляться с нуля каждый квартал, чтобы новички не уступали старожилам программы и могли увидеть себя в списке лидеров сезона.
В будущем мы планируем использовать рейтинг для отбора на приватные конкурсы, вручения особых подарков и кое-чего ещё :)
При расчёте рейтинга учитываются несколько параметров, в том числе критичность и валидность сданных уязвимостей. Подробнее расскажем в отдельном посте.
⭐️ Удачной охоты, увидимся в Зале славы!
P. S. Своё имя и аватарку можно поменять вот тут https://id.yandex.ru/personal.
P. P. S. Дубликаты не влияют на очки.
Долгое время Зал славы был простым списком багхантеров с наградами за репорт. Мы решили обновить Зал славы так, чтобы нахождение в нём стало более почётно и носило соревновательный характер, а имя багхантера стало заметнее.
В Зале славы 2.0 топ «охотников» будет составляться с нуля каждый квартал, чтобы новички не уступали старожилам программы и могли увидеть себя в списке лидеров сезона.
В будущем мы планируем использовать рейтинг для отбора на приватные конкурсы, вручения особых подарков и кое-чего ещё :)
При расчёте рейтинга учитываются несколько параметров, в том числе критичность и валидность сданных уязвимостей. Подробнее расскажем в отдельном посте.
P. S. Своё имя и аватарку можно поменять вот тут https://id.yandex.ru/personal.
P. P. S. Дубликаты не влияют на очки.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Forwarded from PurpleBear (Vadim Shelest)
Меня иногда просят посоветовать self-hosted лабы по различным доменам знаний деятельности пентестеров для наработки и совершенствования навыков на практике, поэтому ловите небольшую подборку:
☑️ Kubernetes Goat - Vulnerable by design Kubernetes cluster
☑️ DVWA - Damn Vulnerable Web Application
☑️ DVWS - Damn Vulnerable Web Sockets
☑️ DVHMA - Damn Vulnerable Hybrid Mobile App (Android)
☑️ DVIA - Damn Vulnerable iOS App
☑️ DVIA2 - Damn Vulnerable iOS App v2
☑️ CI/CD Goat - Vulnerable CI/CD environment
☑️ DVGA - Damn Vulnerable GraphQL Application
☑️ VAmPI - Vulnerable REST API
☑️ DVSA - Damn Vulnerable Serverless Application
☑️ DVFaaS - Damn Vulnerable Functions as a Service (AWS Lambda)
☑️ AWS Goat - Damn Vulnerable AWS Infrastructure
☑️ DVCA - Damn Vulnerable Cloud Application (AWS privesc)
☑️ Azure Goat - Damn Vulnerable Azure Infrastructure
☑️ GCP Goat - Damn Vulnerable GCP Infrastructure
☑️ DVTA - Damn Vulnerable Thick Client App
☑️ DVJA - Damn Vulnerable Java (EE) Application
☑️ DVID - Damn Vulnerable IoT Device
☑️ DVAS - Damn Vulnerable Application Scanner
☑️ DVB - Damn Vulnerable Bank
☑️ DVWPS - Damn Vulnerable WordPress Site
☑️ DVNA - Damn Vulnerable NodeJS Application
☑️ DVGM - Damn Vulnerable Grade Management
☑️ Tiredful API - REST API intentionally designed broken App
☑️ DVCSharp - Damn Vulnerable C# Application (API)
☑️ DVRF - Damn Vulnerable Router Firmware
☑️ DVLLMP - Damn Vulnerable LLM Project
☑️ DVLLMA - Damn Vulnerable LLM Agent
Безусловно некоторые из них уже устарели и содержат не самые актуальные баги, а с некоторыми придется повозиться чтобы установить и развернуть, но все же это хорошая отправная точка для погружения в интересующую тематику😎
☑️ Kubernetes Goat - Vulnerable by design Kubernetes cluster
☑️ DVWA - Damn Vulnerable Web Application
☑️ DVWS - Damn Vulnerable Web Sockets
☑️ DVHMA - Damn Vulnerable Hybrid Mobile App (Android)
☑️ DVIA - Damn Vulnerable iOS App
☑️ DVIA2 - Damn Vulnerable iOS App v2
☑️ CI/CD Goat - Vulnerable CI/CD environment
☑️ DVGA - Damn Vulnerable GraphQL Application
☑️ VAmPI - Vulnerable REST API
☑️ DVSA - Damn Vulnerable Serverless Application
☑️ DVFaaS - Damn Vulnerable Functions as a Service (AWS Lambda)
☑️ AWS Goat - Damn Vulnerable AWS Infrastructure
☑️ DVCA - Damn Vulnerable Cloud Application (AWS privesc)
☑️ Azure Goat - Damn Vulnerable Azure Infrastructure
☑️ GCP Goat - Damn Vulnerable GCP Infrastructure
☑️ DVTA - Damn Vulnerable Thick Client App
☑️ DVJA - Damn Vulnerable Java (EE) Application
☑️ DVID - Damn Vulnerable IoT Device
☑️ DVAS - Damn Vulnerable Application Scanner
☑️ DVB - Damn Vulnerable Bank
☑️ DVWPS - Damn Vulnerable WordPress Site
☑️ DVNA - Damn Vulnerable NodeJS Application
☑️ DVGM - Damn Vulnerable Grade Management
☑️ Tiredful API - REST API intentionally designed broken App
☑️ DVCSharp - Damn Vulnerable C# Application (API)
☑️ DVRF - Damn Vulnerable Router Firmware
☑️ DVLLMP - Damn Vulnerable LLM Project
☑️ DVLLMA - Damn Vulnerable LLM Agent
Безусловно некоторые из них уже устарели и содержат не самые актуальные баги, а с некоторыми придется повозиться чтобы установить и развернуть, но все же это хорошая отправная точка для погружения в интересующую тематику😎
GitHub
GitHub - madhuakula/kubernetes-goat: Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes…
Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes security using an interactive hands-on playground 🚀 - madhuakula/kubernetes-goat
👍6
Forwarded from SHADOW:Group
This media is not supported in your browser
VIEW IN TELEGRAM
Ранее я уже рассказывал о том, что для HTTP-запросов, содержащих тело запроса (например, POST, PUT, PATCH и т.д.), часто можно обойти WAF, просто добавив мусорные данные в начало запроса. Когда запрос дополняется этими ненужными данными, WAF обработает до X КБ запроса и проанализирует его, но все, что превышает пределы WAF, пройдет мимо.
На недавнем NahamCon вышел целый доклад на эту тему с подробным разбором и необходимыми значениями X КБ для обхода различных популярных WAF. Видео доклада, описание и расширение для вставки мусорных данных в Burp представлено по ссылкам ниже.
Ссылка на видео
Ссылка на GitHub
#web #waf #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Белых хакеров опять посчитали.
К сожалению количество, не значит качество, вот и Никита Назаров говорит о том же.
Это в целом снизит качество отчетов и загрузит триаж-команды.
https://www.comnews.ru/content/233733/2024-06-14/2024-w24/1008/belykh-khakerov-rossii-stanet-bolshe
Если черные хакеры все станут белыми, что будут делать производители СЗИ? Запустят лобби BHLM?
Ожидается, что к 2027 г. количество багхантеров, зарегистрированных на специализированных платформах, увеличится на 4 тыс. и составит около 24 тыс. человек, что на 27% больше, чем было в 2023 г. как в динамичном сценарии, так и в умеренном, - заявили эксперты Positive Technologies.
К сожалению количество, не значит качество, вот и Никита Назаров говорит о том же.
"Багхантером может стать каждый, для этого не требуется специальных знаний и навыков, нужно только зарегистрироваться на платформе. А вот квалифицированных этичных хакеров (white hat) все еще счетное количество, причем многие из них уже трудоустроены".
Это в целом снизит качество отчетов и загрузит триаж-команды.
https://www.comnews.ru/content/233733/2024-06-14/2024-w24/1008/belykh-khakerov-rossii-stanet-bolshe
Если черные хакеры все станут белыми, что будут делать производители СЗИ? Запустят лобби BHLM?
ComNews
"Белых хакеров" в России станет больше
В 2027 г. количество багхантеров, зарегистрированных на специализированных платформах, достигнет около 24 тыс. человек, что на 27% больше, чем было в 2023 г. Эксперты считают, что это может привести к замедлению темпов роста найма аналитиков ИБ в компаниях…