На стендофф365 вышла новая программа
https://bugbounty.standoff365.com/programs/konsol
плюс из интересного projectdiscovery(у них много хороших инструментов, которые стоит взять на вооружение) релизнули новый краулер
Надо будет поиграться.
https://github.com/projectdiscovery/katana
#bb
https://bugbounty.standoff365.com/programs/konsol
плюс из интересного projectdiscovery(у них много хороших инструментов, которые стоит взять на вооружение) релизнули новый краулер
Надо будет поиграться.
https://github.com/projectdiscovery/katana
#bb
👍5👀3👎1🔥1
Forwarded from Standoff 365
⚡️ 3i Games, Lootdog и ESforce уже на платформе!
3i Games — команда, которая занимается издательством браузерных и HTML5-игр.
Lootdog.io — торговая площадка, где игроки продают и покупают внутриигровые предметы. Площадка помогает повысить вовлеченность игроков, обеспечивая при этом полную безопасность операций и защиту от фрода.
👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
3i Games — команда, которая занимается издательством браузерных и HTML5-игр.
🔸 *.3igames.mail.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.Lootdog.io — торговая площадка, где игроки продают и покупают внутриигровые предметы. Площадка помогает повысить вовлеченность игроков, обеспечивая при этом полную безопасность операций и защиту от фрода.
🔸 *.lootdog.io
ESforce Holding — одна из крупнейших киберспортивных организаций в мире и лидер российского компьютерного спорта.🔸 *.cybersport.ru и *.esforce.com
💸 Максимальная награда за уязвимости — 60 000 ₽ (в зависимости от уровня угрозы).👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
🔥3❤1👎1
Если кто не в курсе, появился такой тг канал, насколько я понял, от действующего сотрудника ptsecurity, который лично для меня знаком по h1 под ником circuit (https://hackerone.com/circuit)
Мне запомнился как "потрошитель qiwi" (так я окрестил его для cамого себя) - у него было много репортов именно по qiwi в окртытом доступе, которые было интерсно читать, и что-то перенять из них для собственной практики.
Не стесняется шарингом личного бб опыта(что я лично приветствую и по возможности стараюсь делать), берет интервью у кулхацкеров и все такое.
Так что присоединяйтесь, и надеюсь почерпнете для себя что-то новое.
https://t.me/zaheck
#bb
Мне запомнился как "потрошитель qiwi" (так я окрестил его для cамого себя) - у него было много репортов именно по qiwi в окртытом доступе, которые было интерсно читать, и что-то перенять из них для собственной практики.
Не стесняется шарингом личного бб опыта(что я лично приветствую и по возможности стараюсь делать), берет интервью у кулхацкеров и все такое.
Так что присоединяйтесь, и надеюсь почерпнете для себя что-то новое.
https://t.me/zaheck
#bb
HackerOne
HackerOne profile - circuit
Я использую Яндекс.Деньги -
🔥3
x8 - шустрый аналог Arjun и Param Miner.
Определенно мастхев.
Можно интегрировать в Burp Suite + плюс есть релиз под винду(хе-хе)
Более подробно можно почитать тут https://t.me/postImpact/16
https://github.com/Sh1Yo/x8
#bb
Определенно мастхев.
Можно интегрировать в Burp Suite + плюс есть релиз под винду(хе-хе)
Более подробно можно почитать тут https://t.me/postImpact/16
https://github.com/Sh1Yo/x8
#bb
🔥5
Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, основной посыл в которых в том, что баги есть везде, порой в самых очевидных местах. Начало тут -> https://t.me/ScriptKiddieNotes/157
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
🔥7👍1😁1
This media is not supported in your browser
VIEW IN TELEGRAM
at first i was like:
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
😁3👍2
Для желающих по быстренькому срубить 10 лямов теперь есть такая возможность :3
https://t.me/TheStandoffNews/1143
#bb
https://t.me/TheStandoffNews/1143
#bb
Telegram
STANDOFF NEWS
Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критичного для компании события — хищения…
👍1😁1
Пилю прохладную про Яндекс.
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
❤10👌3
На https://github.com/features/code-search/ можно присоединиться к бета-тесту обновленного поискового синтаксиса по гитхабу.
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
🍌6🔥1
https://t.me/bizone_bb/18
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
Telegram
BI.ZONE Bug Bounty
🪲 Продать гараж на «Авито»? А заодно... получить выплату за баги!
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Прилетела приватка с BI.ZONE.
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
👍8
Парочка интересных статей, вышедших относительно недавно, касаемо багов в новомодных инструментах для генерации веб-приложений.
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
Это буквально мое лицо, когда готовился провести выходные за The Callisto Protocol, но оказалось, что все полимеры, которые так нравились в Dead Space, были проебаны.
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg