Прилетела приватка с BI.ZONE.
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Парочка интересных статей, вышедших относительно недавно, касаемо багов в новомодных инструментах для генерации веб-приложений.
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
Это буквально мое лицо, когда готовился провести выходные за The Callisto Protocol, но оказалось, что все полимеры, которые так нравились в Dead Space, были проебаны.
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Некоторые мысли по поводу нескольких тулз и методик.
1. Багбаунти энджоеры точно знают, что разведка - процесс непрекращающийся. И в этом деле нам могут помочь мониторы свежих доменов через выпущенные сертификаты из открытых источников. Чтобы опередить других страждующих и не дать другим скрипткидиссам срубить твои деньги, умные люди написали много подобных тулз. Я довольно долго применял https://github.com/Findomain/Findomain/blob/master/docs/INSTALLATION.md, пока виртуалка с развернутым монитором не умерла, а заново ставить было лень. Самая доступная и не требующая танцев с бубном альтернатива - "facebook certificate transparency" -> https://developers.facebook.com/tools/ct/search/
Регаетесь, добавляете скоуп, получаете на почту свежие домены, раз в день/неделю/месяц/год разгребаете и есть шанс получить интересную точку входа. Работает, было пару находок таким образом.
2. Если искать баги лень, но мучает прокрастинация, можно сделать финт ушами. Собрать кучу какого-нибудь несвежего говна, запихнуть куда-нибудь, и ждать результаты.
Например, алгоритм такой:
- Через гуглдорки+wayback machine собираем по широкому скоупу .js/.json файлы https://github.com/tomnomnom/waybackurls
- Все это добро прогоняем через https://github.com/GerbenJavado/LinkFinder и JS Miner https://portswigger.net/bappstore/0ab7a94d8e11449daaf0fb387431225b
- С чистым сердцем проебываем весь день за любимой игрой/аниме
- В конце дня собираем яйца в кулак и идем разгребать результаты
- ???
- Profit!
По поводу JS Miner - если еще не используете, то зря. Тут:
- Обращаем внимание на проблемы связанные с "dependency confusion", чтобы потом попытаться проэксплуатировать (начать можете отсюда https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
- Ссылки на облачные ресурсы
- Эндпоинты
- И конечно же самое сладкое, всякие ключи/токены/пароли и так далее. Если вдруг видите какой-то непонятный ключ, то https://github.com/GiJ03/API_KeyHacks
#bb
1. Багбаунти энджоеры точно знают, что разведка - процесс непрекращающийся. И в этом деле нам могут помочь мониторы свежих доменов через выпущенные сертификаты из открытых источников. Чтобы опередить других страждующих и не дать другим скрипткидиссам срубить твои деньги, умные люди написали много подобных тулз. Я довольно долго применял https://github.com/Findomain/Findomain/blob/master/docs/INSTALLATION.md, пока виртуалка с развернутым монитором не умерла, а заново ставить было лень. Самая доступная и не требующая танцев с бубном альтернатива - "facebook certificate transparency" -> https://developers.facebook.com/tools/ct/search/
Регаетесь, добавляете скоуп, получаете на почту свежие домены, раз в день/неделю/месяц/год разгребаете и есть шанс получить интересную точку входа. Работает, было пару находок таким образом.
2. Если искать баги лень, но мучает прокрастинация, можно сделать финт ушами. Собрать кучу какого-нибудь несвежего говна, запихнуть куда-нибудь, и ждать результаты.
Например, алгоритм такой:
- Через гуглдорки+wayback machine собираем по широкому скоупу .js/.json файлы https://github.com/tomnomnom/waybackurls
- Все это добро прогоняем через https://github.com/GerbenJavado/LinkFinder и JS Miner https://portswigger.net/bappstore/0ab7a94d8e11449daaf0fb387431225b
- С чистым сердцем проебываем весь день за любимой игрой/аниме
- В конце дня собираем яйца в кулак и идем разгребать результаты
- ???
- Profit!
По поводу JS Miner - если еще не используете, то зря. Тут:
- Обращаем внимание на проблемы связанные с "dependency confusion", чтобы потом попытаться проэксплуатировать (начать можете отсюда https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
- Ссылки на облачные ресурсы
- Эндпоинты
- И конечно же самое сладкое, всякие ключи/токены/пароли и так далее. Если вдруг видите какой-то непонятный ключ, то https://github.com/GiJ03/API_KeyHacks
#bb
👆👆👆
3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.
Алгоритм:
- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283
Добра :3
#bb
3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.
Алгоритм:
- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283
Добра :3
#bb
Давненько я не заходил на https://bugbounty.standoff365.com/
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день надваче пикабу.
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день на
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Спасибо за ивент, и ребятам, которые выступили с докладами.
Prototype Pollution на гитлабе - заебись. Жаль, вопросов не последовало.
WP - кажется я понял, что можно не просто wpscan запустить.
Шаринг знаний это заебись.
#bb
Prototype Pollution на гитлабе - заебись. Жаль, вопросов не последовало.
WP - кажется я понял, что можно не просто wpscan запустить.
Шаринг знаний это заебись.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Спешу поделиться подборкой каналов, которые будут полезны как начинающим, так и опытным багхантерам.
https://t.me/shadow_group_tg
Новости, статьи, интересные/полезные идеи.
https://t.me/yafcab
Канал ведет чувак, которого вы могли знать по h1, сейчас вроде топ1 на багбаунти площадке стендофф365. Nuff said.
https://t.me/BountyOnCoffee
Любит ломать логику. TeamLead и Пентестер в Deteact.
https://t.me/postImpact
Крутой чувак со светлой головой
https://t.me/BugBountyPLZ
Еще один яркий представитель отечественных хантеров с h1 - skavans. Антоха, респект :3
Не забудьте подписаться на чатики к каналам. Знания - сила.
____________________
Конечно же, в текущих реалиях стоит подписаться на каналы/чатики крупнейших отечественных площадок-агрегаторов - bugbounty.ru bugbounty.standoff365.com app.bugbounty.bi.zone
https://t.me/standoff_365_chat
https://t.me/TheStandoff
https://t.me/bugbountyru_chat
https://t.me/bizone_bb
Новости о новых программах, обмен опытом/знаниями, смехуёчки - все, как мы любим.
______________________
Плюс из интересного недавно вышла статья на хабре https://habr.com/ru/company/vk/blog/705222/
Чем интересна? Во-первых, вы поймете как стоит и не стоит писать свои репорты. Cамое главное что стоит вынести для себя - грубиянов и быдло никто не любит, и уважайте труд и время аналитиков, которые сидят и разбирают все, что вы им прислали :3
Cтатья написана руководителем направления Bug Bounty VK Алексеем Гришиным. Недавно имел честь провести с ним содержательную беседу по поводу скорости начисления баунти после репорта. Поговорили продуктивно. Он вообще крутой, радеет за прозрачность и открытость общения между багбаунти программой и рядовыми хантерами. Очень уважаю и ценю такое. Спасибо за твою работу.
В общем, если у вас есть какие-то вопросы по программе VK, вы всегда можете кастануть спелл призыва - @mokando - и получить ответы на свои вопросы.
Добра :3
#bb
https://t.me/shadow_group_tg
Новости, статьи, интересные/полезные идеи.
https://t.me/yafcab
Канал ведет чувак, которого вы могли знать по h1, сейчас вроде топ1 на багбаунти площадке стендофф365. Nuff said.
https://t.me/BountyOnCoffee
Любит ломать логику. TeamLead и Пентестер в Deteact.
https://t.me/postImpact
Крутой чувак со светлой головой
https://t.me/BugBountyPLZ
Еще один яркий представитель отечественных хантеров с h1 - skavans. Антоха, респект :3
Не забудьте подписаться на чатики к каналам. Знания - сила.
____________________
Конечно же, в текущих реалиях стоит подписаться на каналы/чатики крупнейших отечественных площадок-агрегаторов - bugbounty.ru bugbounty.standoff365.com app.bugbounty.bi.zone
https://t.me/standoff_365_chat
https://t.me/TheStandoff
https://t.me/bugbountyru_chat
https://t.me/bizone_bb
Новости о новых программах, обмен опытом/знаниями, смехуёчки - все, как мы любим.
______________________
Плюс из интересного недавно вышла статья на хабре https://habr.com/ru/company/vk/blog/705222/
Чем интересна? Во-первых, вы поймете как стоит и не стоит писать свои репорты. Cамое главное что стоит вынести для себя - грубиянов и быдло никто не любит, и уважайте труд и время аналитиков, которые сидят и разбирают все, что вы им прислали :3
Cтатья написана руководителем направления Bug Bounty VK Алексеем Гришиным. Недавно имел честь провести с ним содержательную беседу по поводу скорости начисления баунти после репорта. Поговорили продуктивно. Он вообще крутой, радеет за прозрачность и открытость общения между багбаунти программой и рядовыми хантерами. Очень уважаю и ценю такое. Спасибо за твою работу.
В общем, если у вас есть какие-то вопросы по программе VK, вы всегда можете кастануть спелл призыва - @mokando - и получить ответы на свои вопросы.
Добра :3
#bb
Меня тут потыкали веточкой и напомнили, что повыходила куча новых программ, а я совсем и забыл. Действительно. Исправляюсь. Держите раритеного слоупока.
Анонс программы oт BI.ZONE -> https://t.me/bizone_bb/25
Озон, в представлении не нуждается. Судя по статистике, https://app.bugbounty.bi.zone/companies/9/main, отчетов не так чтобы много, так что дерзайте.
Анонс сразу нескольких программ от bugbounty.standoff365.com -> https://t.me/standoff_365_chat/2562
VKшечка и немного ptsecurity.
_______________
Алсо, еще одна хорошая новость для тех, кто после смерти xsshunter'а - сервиса, для поиска слепых XSSсок - не озаботился альтернативой. Предлагаю такой вариант https://xss.report/ Мельком глянул, вроде свои функции выполняет. Можно смело добавлять свои нагрузки в какой-нибудь плагин для бурпа, например Burp Bounty Free, и вперед.
#bb
Анонс программы oт BI.ZONE -> https://t.me/bizone_bb/25
Озон, в представлении не нуждается. Судя по статистике, https://app.bugbounty.bi.zone/companies/9/main, отчетов не так чтобы много, так что дерзайте.
Анонс сразу нескольких программ от bugbounty.standoff365.com -> https://t.me/standoff_365_chat/2562
VKшечка и немного ptsecurity.
_______________
Алсо, еще одна хорошая новость для тех, кто после смерти xsshunter'а - сервиса, для поиска слепых XSSсок - не озаботился альтернативой. Предлагаю такой вариант https://xss.report/ Мельком глянул, вроде свои функции выполняет. Можно смело добавлять свои нагрузки в какой-нибудь плагин для бурпа, например Burp Bounty Free, и вперед.
#bb
Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, чтобы напомнить как дорогим читателям, так и самому себе, что майндсет "Баги есть везде!" - лучшее оружие скрипткиддиса/какера/хантера. Особенно, когда опускаются лапки.
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
Кейс №3
Один из тех репортов, которыми горжусь лично для себя. Когда сидишь, втыкаешь в экран и нет плана, нет идей, а потом возникает какой-то миг озарения, и ты такой "А давай ебанём вот так, и посмотрим, что выйдет!". В данном случае даже не потребовались какие-то инструменты типа бурпа, только интернет и прокладка между креслом и клавиатурой. Не претендую на какое-то авторство, но за 6 лет лет просматривания открытых репортов с h1, не видел подобного в раскрытых. Не уверен, как можно классифицировать данный инцидент по OWASP, возможно CWE-840: Business Logic Errors. Сам я, как видно из скринов к посту, обозвал это как повышение привилегий, но уверен, что это в корне не верно. Если у вас другие мысли по этому поводу, дайте знать в личку, или комментариях. Спасибо.
Суть такова. Набравшись смелости(да и вообще набравшись, чего уж там греха таить) поковырять dev.azure.com - cервис для бородатых мужчин, любящих попердолиться с консолькой и прочими умными вещами(если сравнить с чем-то, то ближайшие аналоги mcs.mail.ru и cloud.google.com), я решил взглянуть, что там и как. После череды неудач, в голову стрельнула мысль, что будет, если наградить нашего условного атакующего правами и разрешениями, равными владельцу проекта, потом удалить его вовсе, потом восстановить, и посмотреть, что получиться.
Вышло неплохо, так как-как после удаления такого пользователя - он восстанавливался с прежними правами и разрешениями, поскольку по какой-то причине, система помечала его как принадлежащего к группе Администраторов, и не сбрасывала этот флаг. Вдохновившись этими фактом, отображавшимся на мониторе, я зарепортил. Посоны из Редмонда по достоинству оценили искру вдохновения.
С тех пор, когда я вижу какую-то админку/кабинет разработчика, я задаюсь простым вопросом - как закрепиться условному атакующему, зная, что его пидорнут. Что будет с ключами/токенами, которые были сгенерированы от его имени? Какие-то вебхуки? Пароли к базам данным? Сбрасывается ли все это добро? Как получить какой-то условный бэкдор?
Fun fact: Буквально сегодня за подобный баг, от VK/OK мне прилетела выплата 9000 рублей. Причем в довольно критичном функционале, на котором, собственно и строится весь этот проект, учитывая что сама система/групп/страничек пропускает через себя большой поток денег, и является предметом купли/продажи. Какие времена - такие и нравы. Щито поделать, десу-ка. Спасибо, хоть нахуй не послали.
Подводя итог:
скрипткидди vs кулхацкеры 3:0
Баунти - 5k$
Поскольку скрины не влезли, ибо я слишком распизделся, то они в комментариях.
Добра :3
#bb
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
Кейс №3
Один из тех репортов, которыми горжусь лично для себя. Когда сидишь, втыкаешь в экран и нет плана, нет идей, а потом возникает какой-то миг озарения, и ты такой "А давай ебанём вот так, и посмотрим, что выйдет!". В данном случае даже не потребовались какие-то инструменты типа бурпа, только интернет и прокладка между креслом и клавиатурой. Не претендую на какое-то авторство, но за 6 лет лет просматривания открытых репортов с h1, не видел подобного в раскрытых. Не уверен, как можно классифицировать данный инцидент по OWASP, возможно CWE-840: Business Logic Errors. Сам я, как видно из скринов к посту, обозвал это как повышение привилегий, но уверен, что это в корне не верно. Если у вас другие мысли по этому поводу, дайте знать в личку, или комментариях. Спасибо.
Суть такова. Набравшись смелости(да и вообще набравшись, чего уж там греха таить) поковырять dev.azure.com - cервис для бородатых мужчин, любящих попердолиться с консолькой и прочими умными вещами(если сравнить с чем-то, то ближайшие аналоги mcs.mail.ru и cloud.google.com), я решил взглянуть, что там и как. После череды неудач, в голову стрельнула мысль, что будет, если наградить нашего условного атакующего правами и разрешениями, равными владельцу проекта, потом удалить его вовсе, потом восстановить, и посмотреть, что получиться.
Вышло неплохо, так как-как после удаления такого пользователя - он восстанавливался с прежними правами и разрешениями, поскольку по какой-то причине, система помечала его как принадлежащего к группе Администраторов, и не сбрасывала этот флаг. Вдохновившись этими фактом, отображавшимся на мониторе, я зарепортил. Посоны из Редмонда по достоинству оценили искру вдохновения.
С тех пор, когда я вижу какую-то админку/кабинет разработчика, я задаюсь простым вопросом - как закрепиться условному атакующему, зная, что его пидорнут. Что будет с ключами/токенами, которые были сгенерированы от его имени? Какие-то вебхуки? Пароли к базам данным? Сбрасывается ли все это добро? Как получить какой-то условный бэкдор?
Fun fact: Буквально сегодня за подобный баг, от VK/OK мне прилетела выплата 9000 рублей. Причем в довольно критичном функционале, на котором, собственно и строится весь этот проект, учитывая что сама система/групп/страничек пропускает через себя большой поток денег, и является предметом купли/продажи. Какие времена - такие и нравы. Щито поделать, десу-ка. Спасибо, хоть нахуй не послали.
Подводя итог:
скрипткидди vs кулхацкеры 3:0
Баунти - 5k$
Поскольку скрины не влезли, ибо я слишком распизделся, то они в комментариях.
Добра :3
#bb
Штош, длительные праздники на носу, новый год, и все такое, а значит стоит подвести некоторые итоги.
Год для нашего брата багхантера был не простым, но уверен, что мы со всем справимся, и следующий будет более позитивным.
Хотел бы от себя поблагодарить всех причастных к развитию бб движухи России.
В первую очередь, это площадки-агрегаторы:
https://bugbounty.standoff365.com/
https://bugbounty.ru
https://app.bugbounty.bi.zone/
В это непростое время вы взяли на себя некоторые риски и подсуетились кабанчиками, чтобы нам было куда нести баги.
Во-вторую это все те, кто решил разместиться на них или просто имеют свою отдельную программу.
VK/OK, тинькофф, Яндекс и так далее.
В-третьих, конкретные личности.
Ярослав Бабин, Лука, Алексей Гришин, каждого лично причастного к проведению онлайн-мероприятий, каждого, кто расшаривает знания и делится опытом, каждого аналитика, кто разбирается в дебрях репортов. Да всех не перечислить.
До встречи в новом году.
Удачных багов и терпения. Побольше Сritical и поменьше Duplicate.
Берегите себя и своих близких и любимых.
Добра :3
#bb
Год для нашего брата багхантера был не простым, но уверен, что мы со всем справимся, и следующий будет более позитивным.
Хотел бы от себя поблагодарить всех причастных к развитию бб движухи России.
В первую очередь, это площадки-агрегаторы:
https://bugbounty.standoff365.com/
https://bugbounty.ru
https://app.bugbounty.bi.zone/
В это непростое время вы взяли на себя некоторые риски и подсуетились кабанчиками, чтобы нам было куда нести баги.
Во-вторую это все те, кто решил разместиться на них или просто имеют свою отдельную программу.
VK/OK, тинькофф, Яндекс и так далее.
В-третьих, конкретные личности.
Ярослав Бабин, Лука, Алексей Гришин, каждого лично причастного к проведению онлайн-мероприятий, каждого, кто расшаривает знания и делится опытом, каждого аналитика, кто разбирается в дебрях репортов. Да всех не перечислить.
До встречи в новом году.
Удачных багов и терпения. Побольше Сritical и поменьше Duplicate.
Берегите себя и своих близких и любимых.
Добра :3
#bb