https://t.me/ScriptKiddieNotes/314
https://t.me/ScriptKiddieNotes/339
Продолжаем неспешное путешествие поПодземелью вкусностей stand-alone bb программам.
На очереди у нас СКБ Контур.
Помнится, как-то залетал к ним, году аж 2018-2020 чтоле, когда трава зеленее была и солнышко теплее светило, но чет не осилил, и ушел в закат.
Плюс - на данном этапе программа предлагает широкий скоуп.
Минус - многие продукты и решения скрыты за формой "Ололо, забейте свои данные и девочка-менеджер вам перезвонит". (https://kontur.ru/products) Я для лулзов и изучения процесса попробовал, пытался объяснить, что я мол ололо какер, и хочу помочь вашим безопасникам, откройте доступ но натыкался на стену непонимания. Потом заебался блокировать номера, поэтому лишний раз напоминаю, что вторая симка/телефон это необходимое решение для багхантера. Хотя опять-таки, скоуп широкий и что там на периметре никто не знает.
Плюс - мне понравилась скорость обратной связи и видно, что посоны на том конце провода не просто отбывают свой номер, а радеют за дело. Тот случай, когда говоришь не в пустоту, а с заинтересованным человеком.
Ну а дальше посмотрим.
Было отправлено несколько репортов. Теперь дело за оценкой, и скоростью выплат.
Такие дела :3
https://kontur.ru/bugbounty
#bb
https://t.me/ScriptKiddieNotes/339
Продолжаем неспешное путешествие по
На очереди у нас СКБ Контур.
Помнится, как-то залетал к ним, году аж 2018-2020 чтоле, когда трава зеленее была и солнышко теплее светило, но чет не осилил, и ушел в закат.
Плюс - на данном этапе программа предлагает широкий скоуп.
Минус - многие продукты и решения скрыты за формой "Ололо, забейте свои данные и девочка-менеджер вам перезвонит". (https://kontur.ru/products) Я для лулзов и изучения процесса попробовал, пытался объяснить, что я мол ололо какер, и хочу помочь вашим безопасникам, откройте доступ но натыкался на стену непонимания. Потом заебался блокировать номера, поэтому лишний раз напоминаю, что вторая симка/телефон это необходимое решение для багхантера. Хотя опять-таки, скоуп широкий и что там на периметре никто не знает.
Плюс - мне понравилась скорость обратной связи и видно, что посоны на том конце провода не просто отбывают свой номер, а радеют за дело. Тот случай, когда говоришь не в пустоту, а с заинтересованным человеком.
Ну а дальше посмотрим.
Было отправлено несколько репортов. Теперь дело за оценкой, и скоростью выплат.
Такие дела :3
https://kontur.ru/bugbounty
#bb
ЧВК "Скуф" на страже вашей информационной безопасности!
Передаю привет Ярику, Толяну, Карине, и всем какерам, которые не сдаются и каждый день смотрят воспаленными глазами в монитор, в надежде отыскать ту самую багу.
Растите большими, сильными, умными, красивыми, и чтобы побольше багов.
#bb #standoff365
Передаю привет Ярику, Толяну, Карине, и всем какерам, которые не сдаются и каждый день смотрят воспаленными глазами в монитор, в надежде отыскать ту самую багу.
Растите большими, сильными, умными, красивыми, и чтобы побольше багов.
#bb #standoff365
Я так понел, что иногда нужно отдыхать от багхантига.
Внезапно, прошел сеанс детоксикации. И нет, это не капельница.
Ко мне тут двоюродный брат заехал, он там танцульки какие-то танцует. Я насколько понел это была сальса. А потом еще какой-то южноамериканский танец. Бачата вроде, но не разобрал. Я не специалист, поэтому за достоверность не берусь, я так, чисто движ пришел посмотреть. Это он мне рассказывает, что и как.
Потом заехали на одно из близжащих озер. Сурок. Недалеко от Йошкар-Олы, моего родного города. Часа полтора плавал. Чуть не сдох.
Вообще, приезжайте в республику Марий Эл, здесь есть где искупаться в кристально чистых водоемах, воть.
Внезапно, прошел сеанс детоксикации. И нет, это не капельница.
Ко мне тут двоюродный брат заехал, он там танцульки какие-то танцует. Я насколько понел это была сальса. А потом еще какой-то южноамериканский танец. Бачата вроде, но не разобрал. Я не специалист, поэтому за достоверность не берусь, я так, чисто движ пришел посмотреть. Это он мне рассказывает, что и как.
Потом заехали на одно из близжащих озер. Сурок. Недалеко от Йошкар-Олы, моего родного города. Часа полтора плавал. Чуть не сдох.
Вообще, приезжайте в республику Марий Эл, здесь есть где искупаться в кристально чистых водоемах, воть.
Около месяца назад проходил конкурс от Яндекса по их сервису доставки. Немного поучаствовал, занеся парочку багов. Простенький и очевидный idor в GET запросе неплохо оценили, как по мне.
А прямо сейчас проходит конкурс https://t.me/yandex_bugbounty/33 Парочку XSS отдал, но пока без ответа.
Такие дела.
:3
#bb
А прямо сейчас проходит конкурс https://t.me/yandex_bugbounty/33 Парочку XSS отдал, но пока без ответа.
Такие дела.
:3
#bb
Ну и поскольку понедельник день тяжелый, держите пару видосов из моих закромов для поднятия настроения :3
#lol
#lol
Если вдруг у вас есть лишнее бабло, то обратите внимание на канал https://t.me/katya_valya_dnr
Тем более багхантеры.
Вы не получите прямой билет в райские кущи на собеседование к какому-то там создателю. И не замолите свои грехи. Я гарантирую это. Но, возможно, вам не будет так стремно смотреть по утрам в зекркало, когда бреетесь.
У Пелевина в Поколении П было что-то типа "Солидный господь для солидных людей". Это не тот случай.
Но вы поможете тем, кому сейчас это остро необходимо.
Такие дела.
#bb
Тем более багхантеры.
Вы не получите прямой билет в райские кущи на собеседование к какому-то там создателю. И не замолите свои грехи. Я гарантирую это. Но, возможно, вам не будет так стремно смотреть по утрам в зекркало, когда бреетесь.
У Пелевина в Поколении П было что-то типа "Солидный господь для солидных людей". Это не тот случай.
Но вы поможете тем, кому сейчас это остро необходимо.
Такие дела.
#bb
Telegram
КатяВаля
Помощь Армии РФ
Получил приглашение.
К сожалению, я уже исчерпал лимит на лето на посещение мероприятий и врядли смогу посетить(мамка не отпускает).
Но в любом случае это здорово.
Это признание моей работы по конкретной бб площадке.
Благодарю вас. Может быть, в следующем году.
Следите за новостями/программами туть https://t.me/yandex_bugbounty
#bb
К сожалению, я уже исчерпал лимит на лето на посещение мероприятий и врядли смогу посетить(мамка не отпускает).
Но в любом случае это здорово.
Это признание моей работы по конкретной бб площадке.
Благодарю вас. Может быть, в следующем году.
Следите за новостями/программами туть https://t.me/yandex_bugbounty
#bb
Я люблю Certificate Transparency log.
Расширение поверхности атаки, новые точки входа, интересности и все такое.
Раньше, для подобных целей я использовал https://developers.facebook.com/tools/ct/search/ ололо запрещенная организация и все такое.
Но с некоторых пор, по необъяснимым причинам, он стал сбоить и выдавать нерелевантные результаты.
Например, он тупа перестал отдавать результаты по некоторым доменам типа yandex.ru, yandex.com и наверняка до кучи еще(скорее всего общее тут это ру-сегмент) Но так как не хочется ничего упускать из виду, было интересно изучить аналоги.
Было приянто решение переехать на https://certstream.calidog.io
На гитхабе есть оффициальные билиотеки https://github.com/search?q=org%3ACaliDog+certstream&type=repositories (go, python, java) под которые вы уже можете написать свои оболочки.
Либо воспользоваться готовыми инструментами, например https://github.com/nexxai/Substr3am
Несмотря на почтенный возраст, работает как часы и отдает то, что надо. Задаете цели для отслеживания, результаты складируются в sqllite, который уже потом, через день, неделю, месяц непрерывной работы можете распарсить и далее уже думать, что со всем этим делать.
Хотите быстрый захват домена на какой-нибудь Тильде, вот вам сюда. Или доступ в админку, которая торчит наружу, и про которую случайно забыли.
Ну, как по мне, вроде норм.
#bb
Расширение поверхности атаки, новые точки входа, интересности и все такое.
Раньше, для подобных целей я использовал https://developers.facebook.com/tools/ct/search/ ололо запрещенная организация и все такое.
Но с некоторых пор, по необъяснимым причинам, он стал сбоить и выдавать нерелевантные результаты.
Например, он тупа перестал отдавать результаты по некоторым доменам типа yandex.ru, yandex.com и наверняка до кучи еще(скорее всего общее тут это ру-сегмент) Но так как не хочется ничего упускать из виду, было интересно изучить аналоги.
Было приянто решение переехать на https://certstream.calidog.io
На гитхабе есть оффициальные билиотеки https://github.com/search?q=org%3ACaliDog+certstream&type=repositories (go, python, java) под которые вы уже можете написать свои оболочки.
Либо воспользоваться готовыми инструментами, например https://github.com/nexxai/Substr3am
Несмотря на почтенный возраст, работает как часы и отдает то, что надо. Задаете цели для отслеживания, результаты складируются в sqllite, который уже потом, через день, неделю, месяц непрерывной работы можете распарсить и далее уже думать, что со всем этим делать.
Хотите быстрый захват домена на какой-нибудь Тильде, вот вам сюда. Или доступ в админку, которая торчит наружу, и про которую случайно забыли.
Ну, как по мне, вроде норм.
#bb
У меня вот кстати обычно чет сразу опадает, когда вижу в ответе от сервера QRATOR.
Такое не устраивает. Не хочется сразу быть отфильтрованным по умолчанию.
Может, у них есть какой-то тестовый стенд, типа как у cloudflare c h1, где тебе за bypass'ы еще и денях заплотят?
Или это супер-пупер анально-огороженная компания?
#bb
Такое не устраивает. Не хочется сразу быть отфильтрованным по умолчанию.
Может, у них есть какой-то тестовый стенд, типа как у cloudflare c h1, где тебе за bypass'ы еще и денях заплотят?
Или это супер-пупер анально-огороженная компания?
#bb
Кооперация это хорошо. Добрые русские люди должны помогать друг другу. Мне вот один вумный как вутка парень подкинул пару идей.
Наверное, погромист в свитере с оленями.
Пожелаем ему добра, я так думаю.
https://t.me/it_hueta/
Добра :3
#bb
Наверное, погромист в свитере с оленями.
Пожелаем ему добра, я так думаю.
https://t.me/it_hueta/
Добра :3
#bb