И снова апдейт от программы VK ✌️
Шкала выплат перевалила за 6 млн рублей, и вам теперь доступны новые события VK Bounty pass:
- повышение максимального вознаграждения по программе RuStore до 3.6 млн рублей
- XSS теперь оплачиваются в программах VK, где максимальное вознаграждение 360 тыс. рублей
Уже немного осталось до открытия финального события, держим темп!
Шкала выплат перевалила за 6 млн рублей, и вам теперь доступны новые события VK Bounty pass:
- повышение максимального вознаграждения по программе RuStore до 3.6 млн рублей
- XSS теперь оплачиваются в программах VK, где максимальное вознаграждение 360 тыс. рублей
Уже немного осталось до открытия финального события, держим темп!
bugbounty.vk.company.ru
VK Bug Bounty — программа вознаграждений за обнаружение уязвимостей
Присоединяйтесь к программе VK Bug Bounty и получайте вознаграждения за обнаружение уязвимостей в сервисах VK. Накопительные бонусы, отсутствие лимитов на выплаты и уникальные программы лояльности для багхантеров.
👍2
Forwarded from Bounty On Coffee
Нужно мнение коммьюнити по критичности баги
Месяца 2 назад в мобильном операторе нашел логическую уязвимость в тарификации.
Что это позволяло делать?
- Можно было сделать на всех своих номерах все безлимитное (интернет, звонки, раздача интернета)
- Можно было раскручивать бесконечное количество интернета в роуминге, а интернет в роуминге не дешевый (Например, в ОАЭ 10мб=пару тыщ). И также это можно делать сразу на всех номерах.
- Все это можно раздать или вообще продавать, т.е. можно использовать массово.
Какая тут по вашему мнению критичность ?
Месяца 2 назад в мобильном операторе нашел логическую уязвимость в тарификации.
Что это позволяло делать?
- Можно было сделать на всех своих номерах все безлимитное (интернет, звонки, раздача интернета)
- Можно было раскручивать бесконечное количество интернета в роуминге, а интернет в роуминге не дешевый (Например, в ОАЭ 10мб=пару тыщ). И также это можно делать сразу на всех номерах.
- Все это можно раздать или вообще продавать, т.е. можно использовать массово.
Какая тут по вашему мнению критичность ?
👍5
Новое событие от VK ✌️
И это утроение выплат по программе VK Pay до конца Bounty pass #1: Progress.
⚡️Торопитесь, только до 21 июля максимальное вознаграждение в сервисе VK Pay составит 5,4 млн рублей, и это без учета вашего личного накопительного бонуса💪.
Проверяйте обновление цен на bugbounty.ru.
Еще чуть-чуть и узнаем, что нас ждем в финальном событии от VK😎
И это утроение выплат по программе VK Pay до конца Bounty pass #1: Progress.
⚡️Торопитесь, только до 21 июля максимальное вознаграждение в сервисе VK Pay составит 5,4 млн рублей, и это без учета вашего личного накопительного бонуса💪.
Проверяйте обновление цен на bugbounty.ru.
Еще чуть-чуть и узнаем, что нас ждем в финальном событии от VK😎
bugbounty.vk.company.ru
VK Bug Bounty — программа вознаграждений за обнаружение уязвимостей
Присоединяйтесь к программе VK Bug Bounty и получайте вознаграждения за обнаружение уязвимостей в сервисах VK. Накопительные бонусы, отсутствие лимитов на выплаты и уникальные программы лояльности для багхантеров.
👍2
Forwarded from Похек (Сергей Зыбнев)
RockYou2024
Архив весит 45 гб
Распакованный 156 гб
Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip
Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g
🌚 @poxek
Архив весит 45 гб
Распакованный 156 гб
Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip
Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Управление Уязвимостями и прочее
Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉
Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто реализует успешное проникновение и реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.
В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣
Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏
В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷♂️ Как это и бывает.
Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉
@avleonovrus #профдеформация #fun #BugBounty #pentest #мульт #дыбр
Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто реализует успешное проникновение и реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.
В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣
Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏
В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷♂️ Как это и бывает.
Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉
@avleonovrus #профдеформация #fun #BugBounty #pentest #мульт #дыбр
👍5
Всем привет!
🎊Шкала прогресс-бара BountyPass#1 от VK заполнена полностью, и вам доступны сразу два супер-события:
1️⃣ Повышается вознаграждения во всех программах VK (причем навсегда):
в большинстве программ увеличатся максимальные стоимости, например:
🔹SkillFactory в два раза - со 120 до 250 тыс. рублей
🔹VK Реклама на 50% - с 600 до 1 млн рублей
🔹VK Teams на 50% - с 1,2 до 1,8 млн рублей
а в топовых программах (Почта, Облако и Календарь Mail.ru, ВКонтакте, RuStore) будет увеличение в нескольких категориях. Подробнее можно ознакомиться на (https://bugbounty.ru/app/programs/vk/
)
2️⃣ Заработанный бонус этого сезона сохранится, и вы сможете продолжить его накопление в следующем BountyPass#2: Olymp
Желаем всем отлично отметить финал, отправив побольше репортов!
🎊Шкала прогресс-бара BountyPass#1 от VK заполнена полностью, и вам доступны сразу два супер-события:
1️⃣ Повышается вознаграждения во всех программах VK (причем навсегда):
в большинстве программ увеличатся максимальные стоимости, например:
🔹SkillFactory в два раза - со 120 до 250 тыс. рублей
🔹VK Реклама на 50% - с 600 до 1 млн рублей
🔹VK Teams на 50% - с 1,2 до 1,8 млн рублей
а в топовых программах (Почта, Облако и Календарь Mail.ru, ВКонтакте, RuStore) будет увеличение в нескольких категориях. Подробнее можно ознакомиться на (https://bugbounty.ru/app/programs/vk/
)
2️⃣ Заработанный бонус этого сезона сохранится, и вы сможете продолжить его накопление в следующем BountyPass#2: Olymp
Желаем всем отлично отметить финал, отправив побольше репортов!
👍3
Google объявила о пятикратном увеличении выплат за ошибки, обнаруженные в системах и приложениях, в рамках программы вознаграждения за уязвимости. Теперь их максимальный размер составит $151 515.
«Поскольку наши системы со временем стали более безопасными, мы знаем, что поиск ошибок занимает гораздо больше времени — учитывая это, мы очень рады объявить, что увеличиваем суммы вознаграждений до 5 раз», — заявили в Google.
Так, за уязвимости RCE в наиболее конфиденциальных продуктах с модификатором 1,5x выплатят $101 010, а, если отчёт будет «исключительного качества», то сумма вырастет до $151 515.
https://bughunters.google.com/blog/5400513950908416/increasing-google-alphabet-vrp-rewards-up-to-151-515
«Поскольку наши системы со временем стали более безопасными, мы знаем, что поиск ошибок занимает гораздо больше времени — учитывая это, мы очень рады объявить, что увеличиваем суммы вознаграждений до 5 раз», — заявили в Google.
Так, за уязвимости RCE в наиболее конфиденциальных продуктах с модификатором 1,5x выплатят $101 010, а, если отчёт будет «исключительного качества», то сумма вырастет до $151 515.
https://bughunters.google.com/blog/5400513950908416/increasing-google-alphabet-vrp-rewards-up-to-151-515
Google
Blog: Increasing Google & Alphabet VRP rewards up to $151,515
The reward amounts on offer by the Google VRP have undergone a major overhaul: We're increasing reward amounts by up to 5x (with maximum rewards of up to $151,515)!
👍3
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Багхантер, когда отправил отчет по уязвимости #bugbounty
👍14
Forwarded from Bounty On Coffee
Сделаем так чтобы багхантеры диктовали правила на рынке багбаунти.
А то нынче сложилось мнение, что багхантеры - это люди, которые нуждаются в вендорах. А на деле все наоборот.
Вендоры платят 100к, защищая себя от многомиллионных потерь и репутационных рисков.
По факту, мы багхантеры для вендора дешевая рабочая сила, на данный момент, к сожалению, так есть.
Платформам тоже на данный момент выгоднее принимать только сторону вендора.
Изменится ли все в лучшую сторону для нас, для багхантеров?
Да! Грядут большие перемены!
А то нынче сложилось мнение, что багхантеры - это люди, которые нуждаются в вендорах. А на деле все наоборот.
Вендоры платят 100к, защищая себя от многомиллионных потерь и репутационных рисков.
По факту, мы багхантеры для вендора дешевая рабочая сила, на данный момент, к сожалению, так есть.
Платформам тоже на данный момент выгоднее принимать только сторону вендора.
Изменится ли все в лучшую сторону для нас, для багхантеров?
Да! Грядут большие перемены!
👍11
Forwarded from Информационная опасность
Сумма всего, что Crowdstrike могла предотвратить, вероятно, меньше, чем ущерб, который они только что нанесли.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Сегодня в программах VK стартует Bounty pass#2: Olymp⛰️
Что вас ждет в этот раз?
Бонус + бонус + бонус=♾️
Запоминаем главное: нет лимита на накопительный бонус - все бонусы суммируются! 🤩
Как это работает? Продолжает действовать +5% с каждым новым оплачиваемым отчетом, а те, кто успел накопить бонус с Bounty pass#1: Progress, начнут взбираться на Олимп вместе с ним. 🧗♂️
2 победителя - тот, кто сдаст максимальное количество уязвимостей и кто получит максимальную сумму вознаграждений до 21 октября. Эти двое заработают +10% для каждого оплачиваемого отчета на целый год!
Багхантеры соревнуются друг с другом в личном зачете
Лучшие получат уникальные наборы мерча:
• 🥇 за 10 оплачиваемых уязвимостей или общая сумма вознаграждений 1 миллион рублей
• 🥈 за 6 оплачиваемых уязвимостей или общая сумма вознаграждений 600 тысяч рублей
• 🥉 за 3 оплачиваемые уязвимости или общая сумма вознаграждений 300 тысяч рублей
Подробнее об условиях и таблице олимпийцев.
Желаю вам победы! 🏆
Что вас ждет в этот раз?
Бонус + бонус + бонус=♾️
Запоминаем главное: нет лимита на накопительный бонус - все бонусы суммируются! 🤩
Как это работает? Продолжает действовать +5% с каждым новым оплачиваемым отчетом, а те, кто успел накопить бонус с Bounty pass#1: Progress, начнут взбираться на Олимп вместе с ним. 🧗♂️
2 победителя - тот, кто сдаст максимальное количество уязвимостей и кто получит максимальную сумму вознаграждений до 21 октября. Эти двое заработают +10% для каждого оплачиваемого отчета на целый год!
Багхантеры соревнуются друг с другом в личном зачете
Лучшие получат уникальные наборы мерча:
• 🥇 за 10 оплачиваемых уязвимостей или общая сумма вознаграждений 1 миллион рублей
• 🥈 за 6 оплачиваемых уязвимостей или общая сумма вознаграждений 600 тысяч рублей
• 🥉 за 3 оплачиваемые уязвимости или общая сумма вознаграждений 300 тысяч рублей
Подробнее об условиях и таблице олимпийцев.
Желаю вам победы! 🏆
bugbounty.vk.company.ru
VK Bug Bounty — программа вознаграждений за обнаружение уязвимостей
Присоединяйтесь к программе VK Bug Bounty и получайте вознаграждения за обнаружение уязвимостей в сервисах VK. Накопительные бонусы, отсутствие лимитов на выплаты и уникальные программы лояльности для багхантеров.
👍4👎1
Зачастую, иследуя мобильные приложения можно найти интересные эндпоинты и данные, не стоит этим пренебрегать. Вот свежая статья по настройке SSL pinning на iOS и Android: https://habr.com/ru/articles/830492/
Хабр
Как веб-специалисту начать пентест API мобильного приложения и не сломать макбук
Предисловие Привет, меня зовут brain и я активный участник программ Bug Bounty и достаточно часто смотрю не только веб-приложения, но и мобильные приложения, чтобы определить все конечные точки API...
👍3👎1
Пётр Уваров из VK провёл аналитику багхантеров: https://habr.com/ru/companies/vk/articles/830922/
Хабр
Bug Bounty в России: как дела с белыми русскими хакерами?
Привет Хабр! Меня зовут Петр Уваров, я руководитель направления Bug Bounty в VK. Есть много статей, где багхантеры рассказывают о Bug Bounty и своем опыте в нем. Но в этой статье,...
Как правильно?
Anonymous Poll
8%
Белый хакер?
17%
Багхантер?
75%
Хоть жирафом называйте, только платите за баги.
👍2
Думаю не за горами багбаунти automotive, полезный материал: https://habr.com/ru/articles/828748/
Хабр
Мастер-аккаунт Zeekr. Как Arduino поможет Вашему китайскому авто?
Что происходит когда у Вас гаджет на колесах с одной стороны, и Вы уже окрыленные тем, что Arduino скетчи Blink и Hello_world у Вас получилось запустить? Правильно, приходит мысль, как это можно...
👍2
Рана Робиллэрд, являющаяся в данный момент топ-менеджером одного из стартапов в Кремниевой Долине и бывшая в 2020-2021-м годах одним из руководителей компании HackerOne, попалась на удочку мошенников, заставивших ее перевести им почти 400 тысяч долларов.
Кто-то попытался забрать свои баунти.
CNBC
A Silicon Valley executive had $400,000 stolen by cybercriminals while buying a home. Here’s her warning
Real estate, with its large transaction sizes and frequent use of bank wires, has proven to be an especially lucrative target for cybercriminals.
👍7
Forwarded from Кавычка (Bo0oM)
Что опасного в публичном отображении phpinfo?
Сдаешь такой в багбаунти, а тебе говорят, ну где импакт, CVSS 2.6?
А ты такой, ну смотри какой импакт:
- Дает узнать о конфигурации PHP, в том числе о версии, установленных модулях, путях к файлам и т.д. Что поможет эксплуатировать другие уязвимости.
- Раскрывается информация о реальном расположении серверов (если они скрыты за anti-DDOS или CDN)
- Отдельно стоит отметить, что в эпоху этих ваших docker-compose, иногда в нем раскрывается чувствительная информация в переменных окружения (рили видел креды от базы в ENV)
- Помогает эксплуатировать всякие LFI 2 RCE
- Секция с Cookie раскрывает ВСЕ ПЕЧЕНЬЯ, поэтому позволит украсть их, даже если они HTTPOnly
Я что-то забыл?
>
Сдаешь такой в багбаунти, а тебе говорят, ну где импакт, CVSS 2.6?
А ты такой, ну смотри какой импакт:
- Дает узнать о конфигурации PHP, в том числе о версии, установленных модулях, путях к файлам и т.д. Что поможет эксплуатировать другие уязвимости.
- Раскрывается информация о реальном расположении серверов (если они скрыты за anti-DDOS или CDN)
- Отдельно стоит отметить, что в эпоху этих ваших docker-compose, иногда в нем раскрывается чувствительная информация в переменных окружения (рили видел креды от базы в ENV)
- Помогает эксплуатировать всякие LFI 2 RCE
- Секция с Cookie раскрывает ВСЕ ПЕЧЕНЬЯ, поэтому позволит украсть их, даже если они HTTPOnly
Я что-то забыл?
>
👍7👎2