Forwarded from Яндекс | Охота за ошибками
Подключайтесь к трансляции!
https://www.youtube.com/live/Zq2K7pvV9Lg?si=kCUCUjarW9n-iMYz
13:40 · Станислав Раковский — Малварь в репозитории пакетов Python PyPI
14:35 · Алексей Воздвиженский — CTF-таски на низкоуровневом эмуляторе сети
15:15 · Перерыв
15:30 · Артём Кулаков — Уязвимости навигации в Android-приложениях
16:25 · Елизавета Тишина — Пентест цветочного горшка
17:05 · Антон Леевик — Постквантовые криптоалгоритмы
18:00 · Перерыв
18:30 · Егор Зайцев — Ревёрсинг в Binary Ninja по сравнению с IDA
19:25 · Александр Миронов — Выбор вендора и первый high-баг на Bug Bounty
20:05 · Егор Зонов — SSRF с точки зрения Bug Bounty
Задавайте вопросы в чате SPbCTF
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Видеоканал Global Digital Space
Первый подкаст про Рынок уязвимостей в совокупности посмотрело более 30 000 человек
и мы не останавливаемся и продолжаем знакомить Вас с героями и инструментами по оценке защищенности
Новый эпизод подкаста "Рынок уязвимостей" | Проект «Кибериспытание»
Разбираем всё по полочкам с экспертами:
🔹 Вячеслав Левин (Генеральный директор «Кибериспытания»)
🔹 Руслан Сулейманов (Директор по цифровой трансформации Innostage)
🔹 Сергей Павлов (Заместитель генерального директора по ИБ Т-Страхования, член экспертного совета проекта)
Ведущий - Лука Сафонов (Основатель Bugbounty.ru)
Что обсудили:
Будет живо, остро и с реальными кейсами!
Выбирайте где смотреть:
Полезные ссылки:
Кибериспытание
Innostage
BugBountyRu
Ссылка на статью, про которую говорили эксперты
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍7
Forwarded from Информационная опасность
Зачастую стоит задача получить IPA файл для тестирования iOS приложения, но файл вам не предоставили, а под jailbreak версию iPhone приложения просто-напросто нет. Но есть выход, как получить искомый IPA.
👍1
Forwarded from InfoSec VK Hub
Встретились как-то три багхантера и пентестер…
Так бы мог начаться какой-нибудь анекдот, но нет – это про новый выпуск Портрет багхантера в подкасте «Рынок уязвимостей» от Global Digital Space.
Мы пригласили Юрий Ряднина (circuit), Алексей Трофимов (Kwel), Дмитрий Прохоров (ratel_xx), чтобы поближе познакомиться с их личными историями, узнать о том, что их больше всего мотивирует в Bug Bounty, а что приносит разочарование и «боль».
И конечно, в выпуске обсудили:
🔹 Триаж, программы и платформы
🔹 Раскрытие отчетов
🔹 Этика и конкуренция в сообществе
🔹 Новое поколение багхантеров
🔹 Советы начинающим от профи
Ведущий этого выпуска – Сергей Зыбнев, пентестер и основатель проекта poxek.
Смотрите выпуск на платформах:
📱 VK Видео | 📱 YouTube | 📺 RUTUBE
Подключайтесь! Будет интересно как новичкам, так и профи.👉
Так бы мог начаться какой-нибудь анекдот, но нет – это про новый выпуск Портрет багхантера в подкасте «Рынок уязвимостей» от Global Digital Space.
Мы пригласили Юрий Ряднина (circuit), Алексей Трофимов (Kwel), Дмитрий Прохоров (ratel_xx), чтобы поближе познакомиться с их личными историями, узнать о том, что их больше всего мотивирует в Bug Bounty, а что приносит разочарование и «боль».
И конечно, в выпуске обсудили:
🔹 Триаж, программы и платформы
🔹 Раскрытие отчетов
🔹 Этика и конкуренция в сообществе
🔹 Новое поколение багхантеров
🔹 Советы начинающим от профи
Ведущий этого выпуска – Сергей Зыбнев, пентестер и основатель проекта poxek.
Смотрите выпуск на платформах:
Подключайтесь! Будет интересно как новичкам, так и профи.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Forwarded from InfoSec VK Hub
Please open Telegram to view this post
VIEW IN TELEGRAM
👎5👍1
Forwarded from Информационная опасность
Перефразируя старый спич, можете ли вы сами чинить/ломать свой авто. Можете, но рассказывать об этом можно только автопроизводителю.
Законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации (об использовании программ для ЭВМ и баз данных)» был принят 16 октября в первом чтении.
Данный нормативный акт дает право любому пользователю «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия».
Это возможно при соблюдении ряда условий. Прежде всего, все эти действия должны «осуществляться исключительно в отношении экземпляров программ для ЭВМ или баз данных, функционирующих на технических средствах пользователя».
Кроме того, информацию об обнаруженных недостатках запрещается передавать третьим лицам. Исключение составляют лишь правообладатель или лица, осуществляющего переработку ПО с согласия правообладателя.
Исследователь также должен в течение пяти рабочих дней уведомить правообладателя об обнаруженных недостатках. Исключение допустимо, если местонахождение правообладателя определить не удалось.
Законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации (об использовании программ для ЭВМ и баз данных)» был принят 16 октября в первом чтении.
Данный нормативный акт дает право любому пользователю «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия».
Это возможно при соблюдении ряда условий. Прежде всего, все эти действия должны «осуществляться исключительно в отношении экземпляров программ для ЭВМ или баз данных, функционирующих на технических средствах пользователя».
Кроме того, информацию об обнаруженных недостатках запрещается передавать третьим лицам. Исключение составляют лишь правообладатель или лица, осуществляющего переработку ПО с согласия правообладателя.
Исследователь также должен в течение пяти рабочих дней уведомить правообладателя об обнаруженных недостатках. Исключение допустимо, если местонахождение правообладателя определить не удалось.
Forwarded from InfoSec VK Hub
Это последний апдейт в таблице олимпийцев перед подведением итогов Bounty pass#2: Olymp – победителей объявим 25 октября.
А пока давайте поздравим:
Да, Bounty pass#2: Olymp завершится вечером 21 октября, но это не повод расстраиваться. У вас еще есть время, чтобы сдать отчеты о найденных уязвимостях, накопить бонус и попасть в число олимпийских призеров. На кону – уникальные наборы мерча, а победители получат несгораемый бонус 10% на целый год.
#bugbounty #bountypass #olymp
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Bounty pass#3: Advent – финальное событие юбилейного года VK Bug Bounty
Ребята из VK сегодня запустили новое событие Bounty pass#3: Advent, в котором все участники смогут:
✔️Увеличить накопленные бонусы с Bounty pass#1: Progress и Bounty pass#2: Olymp, забирая +5% с каждым новым оплачиваемым отчетом до 19 декабря.
✔️ Получать подарки из адвент-календаря с каждым новым оплачиваемым отчетом (или за каждые 100 000 рублей в отчёте)
✔️ Приглашение на новогоднюю вечеринку BB Advent Party 19 декабря, куда пойдут:
🏆 все победители и топ-20 призёров Bounty pass #1: Progress,
🥇все призеры и победители Bounty pass #2: Olymp, а также
👾 все, кто сдаст 3 оплачиваемых отчёта или получит суммарную выплату на 300 и более тысяч рублей в Bounty pass #3: Advent до 10 декабря 2024 года.
Спешите сдать свой отчет в программе VK на платформе Bugbounty.ru!
Ребята из VK сегодня запустили новое событие Bounty pass#3: Advent, в котором все участники смогут:
✔️Увеличить накопленные бонусы с Bounty pass#1: Progress и Bounty pass#2: Olymp, забирая +5% с каждым новым оплачиваемым отчетом до 19 декабря.
✔️ Получать подарки из адвент-календаря с каждым новым оплачиваемым отчетом (или за каждые 100 000 рублей в отчёте)
✔️ Приглашение на новогоднюю вечеринку BB Advent Party 19 декабря, куда пойдут:
🏆 все победители и топ-20 призёров Bounty pass #1: Progress,
🥇все призеры и победители Bounty pass #2: Olymp, а также
👾 все, кто сдаст 3 оплачиваемых отчёта или получит суммарную выплату на 300 и более тысяч рублей в Bounty pass #3: Advent до 10 декабря 2024 года.
Спешите сдать свой отчет в программе VK на платформе Bugbounty.ru!
bugbounty.vk.company.ru
VK Bug Bounty — программа вознаграждений за обнаружение уязвимостей
Присоединяйтесь к программе VK Bug Bounty и получайте вознаграждения за обнаружение уязвимостей в сервисах VK. Накопительные бонусы, отсутствие лимитов на выплаты и уникальные программы лояльности для багхантеров.
👍3
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Заряжаем на успех в баг баунти. Хорошей охоты, друзья!
👍7
Финал Bounty pass#2: Olymp
В VK подвели итоги Bounty pass#2: Olymp – поздравляем всех-всех призеров с завоеванными наградами👏
В числе призеров всего 26 багхантеров, включая победителей (mr4nd3r50n и act1on3).
🥇Золото у 12 олимпийцев,
🥈 Серебро – у двух,
🥉 а бронзу получили 12 багхантеров.
Все призеры получат уникальные наборы мерча в соответствии с завоеванной наградой, а также приглашение на новогоднюю вечеринку BB Advent Party 19 декабря в Москве 🎄
У вас тоже есть возможность попасть на эту вечеринку – надо успеть до 10 декабря сдать 3 оплачиваемых отчета ( или уязвимости совокупно на 300 000 рублей) в программу VK.
Желаю всем удачи!
В VK подвели итоги Bounty pass#2: Olymp – поздравляем всех-всех призеров с завоеванными наградами👏
В числе призеров всего 26 багхантеров, включая победителей (mr4nd3r50n и act1on3).
🥇Золото у 12 олимпийцев,
🥈 Серебро – у двух,
🥉 а бронзу получили 12 багхантеров.
Все призеры получат уникальные наборы мерча в соответствии с завоеванной наградой, а также приглашение на новогоднюю вечеринку BB Advent Party 19 декабря в Москве 🎄
У вас тоже есть возможность попасть на эту вечеринку – надо успеть до 10 декабря сдать 3 оплачиваемых отчета ( или уязвимости совокупно на 300 000 рублей) в программу VK.
Желаю всем удачи!
👍2
Forwarded from InfoSec VK Hub
Месяц невиданной щедрости
Повышаем оплату всех найденных IDOR во всех программах VK Bug Bounty!😲
🗓 До 28 декабря
И это плюсом к Bounty pass#3: Advent и накопительному бонусу, которые будут действовать до 19 декабря.
А ведь это еще и крутая возможность получить приглашение на BB Advent Party!
❓ Помните, что если до 10 декабря сдать 3 оплачиваемых отчёта или уязвимости совокупно на 300 000 рублей, то вы попадете на нашу новогоднюю вечеринку для багхантеров?
Как говорится, ни слова больше – пора искать IDOR-ы!🚀
#bugbounty #bountypass #advent
Повышаем оплату всех найденных IDOR во всех программах VK Bug Bounty!
И это плюсом к Bounty pass#3: Advent и накопительному бонусу, которые будут действовать до 19 декабря.
А ведь это еще и крутая возможность получить приглашение на BB Advent Party!
Как говорится, ни слова больше – пора искать IDOR-ы!
#bugbounty #bountypass #advent
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍3
🥷 Разработка методологии багбаунти: руководство для начинающих
На багбаунти-платформе Intigriti недавно вышло руководство по этой теме, поэтому давайте разберемся, с чего начинать багхантерам без опыта.
Методология поиска уязвимостей — это ваш уникальный подход к цели, своего рода пошаговый процесс, который должен помочь вам найти наибольшее количество багов. У каждого свой уникальный подход к поиску.
🕷 Крепкая база — залог успеха. Изучение основ веб-безопасности должно следовать только после изучения основ построения веба.
🕷 Определите ваши сильные стороны, чтобы глубже изучить определенный класс веб-уязвимостей, стек технологий или тип цели.
🕷 Постоянная практика и совершенствование. Как итог — вы начнете генерировать уникальные идеи, с помощью которых будете быстрее приближаться к цели.
🕷 Разработка автоматизированной системы и чек-листа. Если вы постоянно повторяете одни и те же действия при выполнении определённой задачи, автоматизируйте их для экономии времени. Чек-лист поможет обеспечить последовательность в тестировании.
🤝 Несколько дополнительных советов, которые можно продолжать до бесконечности:
✅ Доводите каждую цель до логического завершения, но не перегибайте. Здесь важен баланс — если за определенное вами время ничего не нашлось, лучше вернуться к цели позже.
✅ Следите за изменениями в программе и ваших целях.
✅ JavaScript-файлы — золотая жила. Не пренебрегайте анализом исходников.
✅ Сохраняйте заметки об интересном поведении.
✅ Выберите программу в соответствии со скиллами.
✅ Ознакомьтесь с документацией по продукту, который исследуете.
✅ Шансы найти баги в программе с большим скоупом намного выше. Не забывайте об этом.
🕷 Bug Bounty Ru
💭 Что из этого вы считаете наиболее полезным?
#этобаза
На багбаунти-платформе Intigriti недавно вышло руководство по этой теме, поэтому давайте разберемся, с чего начинать багхантерам без опыта.
Методология поиска уязвимостей — это ваш уникальный подход к цели, своего рода пошаговый процесс, который должен помочь вам найти наибольшее количество багов. У каждого свой уникальный подход к поиску.
#этобаза
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Мы хотим переформатировать наше сообщество в площадку для обучения и профессионального общения. Давайте больше обмениваться опытом и находить больше крутых багов!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15
Эту идею подхватила команда Invicti Security, реализовав инструмент
brainstorm. Он использует ИИ для генерации путей и имён файлов, комбинируя традиционные методы фаззинга с новыми, основанными на искусственном интеллекте. Это позволяет находить больше эндпоинтов с меньшим количеством запросов.ffuf.Один из полезных кейсов — обработка коротких имён файлов в IIS старых версий и их расшифровка с помощью LLM. А ниже — простой пример запуска инструмента с кастомными циклами и моделью:
python fuzzer.py "ffuf -w ./fuzz.txt -u http://target.com/FUZZ" --cycles 100 --model llama2:latest
P. S. Применение LLM для разведки — отличная идея, но в итоге эффективность последней может упереться в размеры модели.
#инструменты
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
День Неизвестного солдата — памятная дата в России, с 2014 года отмечаемая ежегодно 3 декабря в память о российских и советских воинах, погибших в боевых действиях на территории страны или за её пределами.
👍22👎7