Не то, что я ожидал, если честно, но с другой стороны сначала вообще закрыли как "Это не бага! Гоните его, насмехайтесь над ним!"
Зато сумма топовая, я такую еще от Яндекса не получал. У кого-то есть такое округление? А, а? :3
Данный репорт заставил меня вернуться к мысли о том, как же все-таки по разному компании воспринимают ту или иную багу и соответствующий доказанный импакт. Возьмем очевидный IDOR.
Кто-то считает непредсказуемые uid мерой защиты, посылают, и потом тихонько фиксят(как же без этого). Кто-то платит по фулпрайсу, кто-то снижает выплату в связи с трудной эксплуатацией. И так бывает по всем багам по классификациям OWASP.
Развивая мысль, можно прийти к выводу что и cvss score это полнейшая хуета. Все равно, заплатить тебе или нет, решает команда аналитиков/конкретный человек, исходя из каких-то своих установленных, внутренних систем оценки ущерба.
Но в любом случае, баг есть баг, и задача как багхантера заключается в том, чтобы продать его, приводя доводы в вежливой манере. Я выцарапал свои кровные 13,337 рублей, а там хоть трава не расти.
Алсо, скажи вслух "Cпасибо, Василий Кузнецов!" и ты получишь +10 инты и +10 удачи багхантера до конца недели.
https://yandex.ru/bugbounty/index
#bb
Зато сумма топовая, я такую еще от Яндекса не получал. У кого-то есть такое округление? А, а? :3
Данный репорт заставил меня вернуться к мысли о том, как же все-таки по разному компании воспринимают ту или иную багу и соответствующий доказанный импакт. Возьмем очевидный IDOR.
Кто-то считает непредсказуемые uid мерой защиты, посылают, и потом тихонько фиксят(как же без этого). Кто-то платит по фулпрайсу, кто-то снижает выплату в связи с трудной эксплуатацией. И так бывает по всем багам по классификациям OWASP.
Развивая мысль, можно прийти к выводу что и cvss score это полнейшая хуета. Все равно, заплатить тебе или нет, решает команда аналитиков/конкретный человек, исходя из каких-то своих установленных, внутренних систем оценки ущерба.
Но в любом случае, баг есть баг, и задача как багхантера заключается в том, чтобы продать его, приводя доводы в вежливой манере. Я выцарапал свои кровные 13,337 рублей, а там хоть трава не расти.
Алсо, скажи вслух "Cпасибо, Василий Кузнецов!" и ты получишь +10 инты и +10 удачи багхантера до конца недели.
https://yandex.ru/bugbounty/index
#bb
Media is too big
VIEW IN TELEGRAM
Эй, дорогуши, чего вы ждете, завтрак в постель?
Каждый день в багбаунти все равно что день в раю! Каждая приватка - парад! Каждое баунти - состояние!
#bb
Каждый день в багбаунти все равно что день в раю! Каждая приватка - парад! Каждое баунти - состояние!
#bb
Чет подотстал от актуальных новостей по СВО.
Че там, хохлы, норм вас ебут или слабовато?
Данные в ТЦК обновили?
Скоро москалей переможете?
#кжхдпп
Че там, хохлы, норм вас ебут или слабовато?
Данные в ТЦК обновили?
Скоро москалей переможете?
#кжхдпп
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Опубликовали видеоролик о том, как прошла ежегодная независимая премия Pentest award 2024!
Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.
Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.
До встречи в 2025 году 👋
Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.
📺 Полное видео
🔗 Pentest award (архив)
❤ @justsecurity
Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.
Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.
До встречи в 2025 году 👋
Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.
Please open Telegram to view this post
VIEW IN TELEGRAM
Иногда читаешь какеров - они на перебой кричат: "Ололо есть захват контроллера домена!" "Десериализация! RCE!"
"Мы оказались за периметром!"
Лучше бы в женщине оказались :3
Ну, тем временем я расширил свою коллекцию трофеев.
Бизонов только нет.
Последняя футболка и в принципе жизнь прожита не зря.
#bb
"Мы оказались за периметром!"
Лучше бы в женщине оказались :3
Ну, тем временем я расширил свою коллекцию трофеев.
Бизонов только нет.
Последняя футболка и в принципе жизнь прожита не зря.
#bb
Поступил такой вот вопрос.
Я в последнее время набегаю только накорованы ру программы.
Если перед вами стоит вопрос выбора банка для входящих swift платежей, то мой последний совет про Райффазен не актуален в связи с конской комиссией, что они ввели. 50%. Получаете 10k, отдаете 5k. Звучит как неплохой бизнес-план.
Мне тоже иногда хочется тоже похантить по забугорным программам, чтобы без проблем с оплатой и всем таким. На данном этапе выбор невелик.
Могу посоветовать immunefi.com
Это площадка агрегатор для web3, но и чистый вебчик тоже есть. Поиск -> Фильтр -> Веб
https://immunefi.com/bug-bounty/?filter=programType%3DWebsites%2Band%2BApplications
Сам я не хантил там, но если у кого-то есть опыт, было бы здорово его почитать.
Ну и из плюсов, не во всех программах есть требование KYC(know your customer).
То есть в теории от вас ничего не требуется, только репорт и адрес криптокошелька.
#bb
Я в последнее время набегаю только на
Если перед вами стоит вопрос выбора банка для входящих swift платежей, то мой последний совет про Райффазен не актуален в связи с конской комиссией, что они ввели. 50%. Получаете 10k, отдаете 5k. Звучит как неплохой бизнес-план.
Мне тоже иногда хочется тоже похантить по забугорным программам, чтобы без проблем с оплатой и всем таким. На данном этапе выбор невелик.
Могу посоветовать immunefi.com
Это площадка агрегатор для web3, но и чистый вебчик тоже есть. Поиск -> Фильтр -> Веб
https://immunefi.com/bug-bounty/?filter=programType%3DWebsites%2Band%2BApplications
Сам я не хантил там, но если у кого-то есть опыт, было бы здорово его почитать.
Ну и из плюсов, не во всех программах есть требование KYC(know your customer).
То есть в теории от вас ничего не требуется, только репорт и адрес криптокошелька.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Кажется, я влюбился!
Тут какой-то залетный задал вопрос https://t.me/ScriptKiddieNotesChat/3460
Вообще, вопрос интересный. И я начал вспоминать, что же я знаю про "secondary context path traversal".
Как я всегда это понимал - это когда ты не напрямую проводишь атаку типа path traversal на веб-приложение, а когда при этом имеет место быть прокладка в виде прокси/шлюза. И чтобы визуально добиться и достать результат надо попотеть, ибо не так просто подобрать правильный path routing.
Натыкался на нечто подобное, когда в качестве прокси выступал nginx. Но чет не осилил.
Тема не то, чтобы новая, но вполне имеет место быть. Просто автоматикой не детектится, лол)
Материалы по теме:
https://github.com/GrrrDog/weird_proxies
https://speakerdeck.com/greendog/reverse-proxies-and-inconsistency
https://docs.google.com/presentation/d/1N9Ygrpg0Z-1GFDhLMiG3jJV6B_yGqBk8tuRWO1ZicV8
#bb
Вообще, вопрос интересный. И я начал вспоминать, что же я знаю про "secondary context path traversal".
Как я всегда это понимал - это когда ты не напрямую проводишь атаку типа path traversal на веб-приложение, а когда при этом имеет место быть прокладка в виде прокси/шлюза. И чтобы визуально добиться и достать результат надо попотеть, ибо не так просто подобрать правильный path routing.
Натыкался на нечто подобное, когда в качестве прокси выступал nginx. Но чет не осилил.
Тема не то, чтобы новая, но вполне имеет место быть. Просто автоматикой не детектится, лол)
Материалы по теме:
https://github.com/GrrrDog/weird_proxies
https://speakerdeck.com/greendog/reverse-proxies-and-inconsistency
https://docs.google.com/presentation/d/1N9Ygrpg0Z-1GFDhLMiG3jJV6B_yGqBk8tuRWO1ZicV8
#bb
Мне сегодня 40 лет.
Дружаня из Москвы приехал. С которым мы в одной казарме спали)
Вспоминаем теплые ламповые времена.
Разбираем диски c Windows XP. И Кевина Митника, лол)
Ух, нажрусь) А там хоть трава не расти)
Добра :3
#bb
Дружаня из Москвы приехал. С которым мы в одной казарме спали)
Вспоминаем теплые ламповые времена.
Разбираем диски c Windows XP. И Кевина Митника, лол)
Ух, нажрусь) А там хоть трава не расти)
Добра :3
#bb
Иногда меня спрашивают, за что ты не любишь хохлов.
Не люблю хохлов за 2 мая 2014, когда фотка беременной задушенной женщины впечаталась мне в память. Я больше не хочу такое видеть.
Я не люблю хохлов за Луганск, когда штурмовик СУ-25 пролетел и ололо навелся на "кондиционер".
Не люблю хохлов за то что параша 404 обкрадывает наших бабушек и дедушек. Днепрожидовск - мекка скамеров и телефонных мошенников.
Не люблю хохлов, с их пытками и казнями наших пацанов.
Не люблю хохлов за запруфанные казни мирняка. В том числе Курской области.
Не люблю хохлов, потому что они засирают нашу экосистему рунета своим нахрюками.
Я искренне надеюсь, что каждый хохлятский выблядок сдохнет в мучениях.
Ну а чтобы полнее ответить на этот вопрос, не хватит и тома "Войны и Мира". И неба Аустерлица.
Следующий президент, за которого я буду голосовать должен решить вопрос каргокультистых диких пидорашек у нас под боком.
#кждпп
Не люблю хохлов за 2 мая 2014, когда фотка беременной задушенной женщины впечаталась мне в память. Я больше не хочу такое видеть.
Я не люблю хохлов за Луганск, когда штурмовик СУ-25 пролетел и ололо навелся на "кондиционер".
Не люблю хохлов за то что параша 404 обкрадывает наших бабушек и дедушек. Днепрожидовск - мекка скамеров и телефонных мошенников.
Не люблю хохлов, с их пытками и казнями наших пацанов.
Не люблю хохлов за запруфанные казни мирняка. В том числе Курской области.
Не люблю хохлов, потому что они засирают нашу экосистему рунета своим нахрюками.
Я искренне надеюсь, что каждый хохлятский выблядок сдохнет в мучениях.
Ну а чтобы полнее ответить на этот вопрос, не хватит и тома "Войны и Мира". И неба Аустерлица.
Следующий президент, за которого я буду голосовать должен решить вопрос каргокультистых диких пидорашек у нас под боком.
#кждпп