Багхантер, когда отправил отчет по уязвимости #bugbounty

Жаркие споры сотен, а может и тысяч багхантеров РФ.

Сделаем так чтобы багхантеры диктовали правила на рынке багбаунти.

А то нынче сложилось мнение, что багхантеры - это люди, которые нуждаются в вендорах. А на деле все наоборот.

Вендоры платят 100к, защищая себя от многомиллионных потерь и репутационных рисков.

По факту, мы багхантеры для вендора дешевая рабочая сила, на данный момент, к сожалению, так есть.

Платформам тоже на данный момент выгоднее принимать только сторону вендора.

Изменится ли все в лучшую сторону для нас, для багхантеров?
Да! Грядут большие перемены!

Сегодня в программах VK стартует Bounty pass#2: Olymp⛰️
Что вас ждет в этот раз?

Бонус + бонус + бонус=♾️
Запоминаем главное: нет лимита на накопительный бонус - все бонусы суммируются! 🤩
Как это работает? Продолжает действовать +5% с каждым новым оплачиваемым отчетом, а те, кто успел накопить бонус с Bounty pass#1: Progress, начнут взбираться на Олимп вместе с ним. 🧗‍♂️

2 победителя - тот, кто сдаст максимальное количество уязвимостей и кто получит максимальную сумму вознаграждений до 21 октября. Эти двое заработают +10% для каждого оплачиваемого отчета на целый год!

Багхантеры соревнуются друг с другом в личном зачете
Лучшие получат уникальные наборы мерча:
• 🥇 за 10 оплачиваемых уязвимостей или общая сумма вознаграждений 1 миллион рублей
• 🥈 за 6 оплачиваемых уязвимостей или общая сумма вознаграждений 600 тысяч рублей
• 🥉 за 3 оплачиваемые уязвимости или общая сумма вознаграждений 300 тысяч рублей
Подробнее об условиях и таблице олимпийцев.

Желаю вам победы! 🏆

Зачастую, иследуя мобильные приложения можно найти интересные эндпоинты и данные, не стоит этим пренебрегать. Вот свежая статья по настройке SSL pinning на iOS и Android: https://habr.com/ru/articles/830492/

Пётр Уваров из VK провёл аналитику багхантеров: https://habr.com/ru/companies/vk/articles/830922/

Думаю не за горами багбаунти automotive, полезный материал: https://habr.com/ru/articles/828748/

Рана Робиллэрд, являющаяся в данный момент топ-менеджером одного из стартапов в Кремниевой Долине и бывшая в 2020-2021-м годах одним из руководителей компании HackerOne, попалась на удочку мошенников, заставивших ее перевести им почти 400 тысяч долларов.

Кто-то попытался забрать свои баунти.

Что опасного в публичном отображении phpinfo?

Сдаешь такой в багбаунти, а тебе говорят, ну где импакт, CVSS 2.6?

А ты такой, ну смотри какой импакт:
- Дает узнать о конфигурации PHP, в том числе о версии, установленных модулях, путях к файлам и т.д. Что поможет эксплуатировать другие уязвимости.
- Раскрывается информация о реальном расположении серверов (если они скрыты за anti-DDOS или CDN)
- Отдельно стоит отметить, что в эпоху этих ваших docker-compose, иногда в нем раскрывается чувствительная информация в переменных окружения (рили видел креды от базы в ENV)
- Помогает эксплуатировать всякие LFI 2 RCE
- Секция с Cookie раскрывает ВСЕ ПЕЧЕНЬЯ, поэтому позволит украсть их, даже если они HTTPOnly

Я что-то забыл?

>

Одноразка bypass

Попала мне в руки одноразка inflave omega.

одноразовая электронная сигарета

Суть данной приблуды в том, что она заботится о здоровье пользователей и пополнении баланса компании весьма коварным путем. У нее есть лимит на определенное количество затяжек, что обычно служит информационным напоминанием юзеру, когда он будет потреблять вкусный и ароматный пар, а не горькую вату, но здесь ситуация немного другая.
В один момент сигарета перестала подавать признаки жизни. Исходя из индикации стало понятно, что аккумулятор заряжен, но продолжать дальнейший кумар не представлялось возможным. Датчик совершенных затяжек указывал на 0%, хоть я и чувствовал, что жидкости осталось ещё много.

Для начала было решено изучить type-c порт. Если девайс содержит какую-то логику, то возможно у него есть память, которую можно перезаписать. Когда я подключил агрегат к ноутбуку мне не довелось увидеть ничего стоящего, кроме индикации заряда на самом устройстве. Судя по всему отладка через порт не предусмотрена, но никотиновая ломка оказалась сильнее ограничений вендора.
Я начал думать, каким образом реализовано хранение данных и предположил, что сохранять такие значения в постоянной памяти нецелесообразно и дорого. На этой мысли появилась надежда, что при отсутствии питания - значения в памяти сбросятся и индикация присутствия жидкости вновь покажет максимальное значение. Будто оно пропадет из оперативной памяти или как откатится время, в случае с отсутствием питания на батарейке биоса.
После разбора корпуса и переподключения аккумулятора так и произошло, живительный дым снова пошел из недр устройства, а дисплей показывал, что количество жидкости соответствует 100%

За этот удачный пентест я получил дополнительную дозу яда своему организму, чему был очень рад.

#BusinessLogic

Победители BountyPass от VK https://bugbounty.vk.company/bountypass1

Похожая схема атаки в свое время была реализована на инфру того самого мессенджера, но выплата была мизерная.

Думаю следующей итерацией будет ::0 day.
https://www.securitylab.ru/news/550918.php?lang=ru

А вот и имена первых призеров в таблице олимпийцев Bounty pass#2 от VK.
Поздравляем kedr и BlackFan с первыми медалями 🥇🥉
Ждем, кто завоюет серебро и догонит ли кто kedr? 👀

Отправляйте свои отчеты в программы VK и участвуйте в личном зачете Olymp. ⛰️

А ведь он реально как "батя" - бывает, суров но справедлив, умен и безумно харизматичен. Лука Сафонов и его полный ИБец!

Youtube: https://youtu.be/4u1d8ltsrsY

VK: https://vk.com/video-211153210_456239333

RUTUBE: https://rutube.ru/video/7b1fb862b7791687fe4d8d8e5891e320/

https://habr.com/ru/news/837170/

Полезно - лайк, херня - дизлайк. Го.

Программа вознаграждения за безопасность от Google Play (GPSRP - Google Play Security Reward Program), как сообщает Google Bug Hunters закрывается в последний день лета 2024. В течение почти семи лет компания платила тем, кто находил уязвимости в приложениях Android, которые были доступны пользователям в Google Play .

В 2017 году, когда была запущена программа, число разработчиков-участников было ограничено. За время работы GPSRP их количество увеличилось. Участниками программы стали такие разработчики приложений Android, как Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, Paypal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC и Zomato и др.

По сообщению Google, данные об уязвимостях компания использовала для создания автоматизированных проверок, которые сканировали все приложения Google Play на предмет схожих уязвимостей. В 2019 году Google заявила, что это помогло более чем 300 000 разработчиков исправить более 1 000 000 приложений в Google Play.

Программу закрывают из-за значительного уменьшения числа уязвимостей в приложениях.

Сотни, а может и тысячи багхантеров (с) продают зиродеи в КГБ через платформы багбаунти, а на вырученные деньги пьют водку с медведями.

Российские платформы bug bounty имеют высокую вероятность существенного роста в ближайшие несколько лет. Они предоставляют надежную западную альтернативу не только российским хакерам, но и всем другим исследователям уязвимостей, находящимся в странах, которые потенциально могут столкнуться с международными финансовыми санкциями в будущем.

С западной точки зрения потенциально проблемным развитием событий может стать то, что российские хакеры решат продать уязвимости, обнаруженные в западных продуктах, российским компаниям по приобретению уязвимостей нулевого дня, таким как [данные удалены]. Таким образом, вместо того, чтобы сообщать о них на западные платформы bug bounty бесплатно, они продают их тому, кто заплатит больше.

Эти компании по приобретению уязвимостей нулевого дня в свою очередь продают их российским правоохранительным органам и службам безопасности, что может привести к усилению шпионских кампаний в западных странах. Западным политикам было бы полезно следить за развитием российской экосистемы bug bounty.

https://www.csoonline.com/article/3487397/bug-bounty-programs-take-root-in-russia-with-possible-far-reaching-implications.html