Forwarded from Standoff 365
🏟 Всегда мечтали собрать стадион? Открываем Call For Papers на киберфестиваль Positive Hack Days 2 — в этом году он пройдет с 23 по 26 мая в «Лужниках»!
Подать заявку на выступление и узнать все подробности можно на сайте PHDays. А тут расскажем о главном:
• Заявки принимаются до 15 марта
• Два формата выступления: доклад (на 50 минут) и Fast Track (на 15 минут)
• Заявку могут подать как профи, так и новички. Главное — свежий взгляд на проблемы ИБ и пути их решения.
Ждем ваших крутых выступлений! До встречи в мае 🤟
Подать заявку на выступление и узнать все подробности можно на сайте PHDays. А тут расскажем о главном:
• Заявки принимаются до 15 марта
• Два формата выступления: доклад (на 50 минут) и Fast Track (на 15 минут)
• Заявку могут подать как профи, так и новички. Главное — свежий взгляд на проблемы ИБ и пути их решения.
Ждем ваших крутых выступлений! До встречи в мае 🤟
🔥11
Крутой разбор новой угрозы от Юры по ссылочке: https://habr.com/ru/companies/swordfish_security/articles/790544/
Хабр
Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
Всем привет! Сегодня с вами Юрий Шабалин, генеральный директор «Стингрей Технолоджиз», и я хотел бы разобрать в этой статье новый тип атаки на цепочку поставок под названием «MavenGate». А что в ней,...
👏4
Forwarded from Mobile AppSec World (Yury Shabalin)
Новая атака на цепочку поставок: Java и Android под ударом!
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии. Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
News, Techniques & Guides
Introducing MavenGate: a supply chain attack method for Java and Android applications
More recently, the cybersecurity community has seen numerous studies of supply chain attacks on Web apps.
👍11🔥2🤯2
Forwarded from Кавычка (Bo0oM)
Быстро и дешево брутим хэши
Короч, есть чуваки такие, immers.cloud
По сути это хостинг с арендой видеокарт. А так как я занимался проектом passleak.ru, иногда нужно было разгадывать хэшики, решил не покупать под это оборудование. Вышло круто.
Тут есть два варианта развития событий.
Арендуем видеокарту (какую - по желанию, они там выкатили какие-то ультра-модные H100, но мне и 2080 часто хватает), грузим туда наши хэши, делаем что-то типа:
Устанавливаем hashcat и играемся с этим всем.
Но если нам нужно побрутить пароли по словарям, способ еще круче. Берем готовый образ Ubuntu + Hashcat + Weakpass 3, на диске будет лежать архив с Weakpass V3. Запускаем и прогоняем хэши, забираем то что сбрутилось, вырубаем машину.
Например, чтоб раскукожить пароли из дампа Linkedin - мне потребовалось рублей... 20?
В общем, круто держать под рукой чтобы быстро сбрутить какой-то хэшик.
>
Короч, есть чуваки такие, immers.cloud
По сути это хостинг с арендой видеокарт. А так как я занимался проектом passleak.ru, иногда нужно было разгадывать хэшики, решил не покупать под это оборудование. Вышло круто.
Тут есть два варианта развития событий.
Арендуем видеокарту (какую - по желанию, они там выкатили какие-то ультра-модные H100, но мне и 2080 часто хватает), грузим туда наши хэши, делаем что-то типа:
sudo apt-get update
sudo apt-get install gcc make tmux git mesa-common-dev cmake nvidia-cuda-toolkit build-essential unzip -y
https://ru.download.nvidia.com/XFree86/Linux-x86_64/470.63.01/NVIDIA-Linux-x86_64-470.63.01.run
chmod +x NVIDIA-Linux-x86_64-470.63.01.run
sudo ./NVIDIA-Linux-x86_64-470.63.01.run
Устанавливаем hashcat и играемся с этим всем.
Но если нам нужно побрутить пароли по словарям, способ еще круче. Берем готовый образ Ubuntu + Hashcat + Weakpass 3, на диске будет лежать архив с Weakpass V3. Запускаем и прогоняем хэши, забираем то что сбрутилось, вырубаем машину.
Например, чтоб раскукожить пароли из дампа Linkedin - мне потребовалось рублей... 20?
В общем, круто держать под рукой чтобы быстро сбрутить какой-то хэшик.
>
👍16🔥10
Forwarded from PT SWARM
PortSwigger's Top 10 web hacking techniques of 2023!
Welcome to the Top 10 Web Hacking Techniques of 2023, community-powered effort to identify the most important and innovative web security research published in the last year.
🥇 Smashing the state machine: the true potential of web race conditions
🥈 Exploiting Hardened .NET Deserialization
🥉 SMTP Smuggling - Spoofing E-Mails Worldwide
4️⃣ PHP filter chains: file read from error-based oracle
5️⃣ Exploiting HTTP Parsers Inconsistencies
6️⃣ HTTP Request Splitting vulnerabilities exploitation
7️⃣ How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
8️⃣ From Akamai to F5 to NTLM... with love
9️⃣ Cookie Crumbles: Breaking and Fixing Web Session Integrity
🔟 can I speak to your manager? hacking root EPP servers to take control of zones
The entire nomination list you can find here: https://portswigger.net/research/top-10-web-hacking-techniques-of-2023-nominations-open
Welcome to the Top 10 Web Hacking Techniques of 2023, community-powered effort to identify the most important and innovative web security research published in the last year.
🥇 Smashing the state machine: the true potential of web race conditions
🥈 Exploiting Hardened .NET Deserialization
🥉 SMTP Smuggling - Spoofing E-Mails Worldwide
4️⃣ PHP filter chains: file read from error-based oracle
5️⃣ Exploiting HTTP Parsers Inconsistencies
6️⃣ HTTP Request Splitting vulnerabilities exploitation
7️⃣ How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
8️⃣ From Akamai to F5 to NTLM... with love
9️⃣ Cookie Crumbles: Breaking and Fixing Web Session Integrity
🔟 can I speak to your manager? hacking root EPP servers to take control of zones
The entire nomination list you can find here: https://portswigger.net/research/top-10-web-hacking-techniques-of-2023-nominations-open
👍13
Forwarded from CyberED
🏆 Друзья, с радостью рассказываем вам про нашу новую активность! Встречайте турнир One Task of the Month🚩
Теперь каждый месяц мы будем запускать по одной задаче на разные темы в режиме🚩 🚩 🚩 и предлагать вам их решить на скорость⏱
❓ Для чего?
Чтобы вы могли потренироваться и отработать свои навыки в практической кибербезопасности⚒, а еще выиграли классные призы (среди них будут бесплатные проходки на знаковые ИБ-мероприятия – OFFZONE, PHD и не только🔥).
Задачи будут из следующих категорий (список может расширяться):
🔻web
🔻pwn
🔻crypto
🔻reverse
🔻misc,
и они будут очень сложными!
Боритесь, чтобы занять🥇первые места, попасть в Зал Славы и получить свои призы!
Призы будем вручать в течение всего года, а по итогам будем чествовать и награждать победителей за первые места и за количество решенных тасок.
⌛ Старт первой задачи 9 марта, не пропустите!
Добавляйтесь в чат Телеграм, чтобы точно не пропустить: https://t.me/CyberEd_CTF_chat.
🤗 Будет очень интересно!
Теперь каждый месяц мы будем запускать по одной задаче на разные темы в режиме
Чтобы вы могли потренироваться и отработать свои навыки в практической кибербезопасности⚒, а еще выиграли классные призы (среди них будут бесплатные проходки на знаковые ИБ-мероприятия – OFFZONE, PHD и не только🔥).
Задачи будут из следующих категорий (список может расширяться):
🔻web
🔻pwn
🔻crypto
🔻reverse
🔻misc,
и они будут очень сложными!
Боритесь, чтобы занять🥇первые места, попасть в Зал Славы и получить свои призы!
Призы будем вручать в течение всего года, а по итогам будем чествовать и награждать победителей за первые места и за количество решенных тасок.
Добавляйтесь в чат Телеграм, чтобы точно не пропустить: https://t.me/CyberEd_CTF_chat.
🤗 Будет очень интересно!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍1
Всем привет! Как и обещал многим из вас, задающим вопрос: «Хочу у вас работать, как к вам попасть?» мы открыли набор младших специалистов! Уточню, что это специалисты уже имеющие некоторый опыт в прокачивании хакерских скиллов.
P.S. Чуть позднее также объявим стажировки для помощи в росте совсем начинающим хакерочкам.
Вакансия
Команда Singleton в поисках начинающих специалистов!
ООО “Синглтон Секьюрити” (singleton-security.ru)
Контакт: @I_rina_shirshova
ЗП 80-120 т.р. на руки + квартальная премия ~100-250 т.р.
Младший специалист по тестированию на проникновение ИТ инфраструктуры
Задачи, которые необходимо решать:
- Участие в пентестах в группе со старшими и ведущими специалистами
- Организация социотехнических тестирований с применением методов соц. инженерии
- Формирование отчетности по уязвимостям в системе трекинга багов
- Активное участие в мероприятиях компании и турнирах PHDays Standoff/пр. CTF
Требования:
- Понимание основ проведения социальной инженерии, подготовка инфраструктуры для фишинга (Подготвка доменов, зеркал, нагрузок, настройка GoPhish);
- Знание методов повышения привилегий для Windows и Linux;
- Понимание основных атак на AD (kerberoast,asreproast,sysvol и gpp,password spraying)
- Умение пользоваться MSF DB, responder, mimikatz, impacket, crackmapexec,bloodhound;
- Уверенное владение bash, powershell, cmd, навыки автоматизации атак;
- Знание типовых веб-уязвимостей
- Гражданство РФ
Будет плюсом:
- Опыт работы на аналогичных позициях
- Опыт работы в ИТ/ИБ (разработка, администрирование, blue-team)
- Знание английского языка (B1+)
- Высшее техническое образование
Плюшки:
- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
* Совмещение с учебой возможно, если вы готовы к загрузке 40 часов в неделю, не важно в какое время.
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Корпоративный ноутбук (MacBook / Dell XPS)
- Офис: Метро Бауманская (БЦ Суперметалл)
Условия для соискателей:
- Либо предоставить резюме с хорошим треком, отражающим ваш опыт: соревновательные площадки, образование, опыт работы, исследования, статьи и пр.
- Либо написать отчеты по компрометации следующих виртуальных машин (тщательность и аккуратность отчета идет в зачет): https://disk.yandex.ru/d/EKhZsntxnUtbsQ, https://disk.yandex.ru/d/83NdLd3Vjp_VNA, https://disk.yandex.ru/d/8XT1oaMmqpCGjQ (Пароль от архивов: xpdK$LP1?&)
P.S. Чуть позднее также объявим стажировки для помощи в росте совсем начинающим хакерочкам.
Вакансия
Команда Singleton в поисках начинающих специалистов!
ООО “Синглтон Секьюрити” (singleton-security.ru)
Контакт: @I_rina_shirshova
ЗП 80-120 т.р. на руки + квартальная премия ~100-250 т.р.
Младший специалист по тестированию на проникновение ИТ инфраструктуры
Задачи, которые необходимо решать:
- Участие в пентестах в группе со старшими и ведущими специалистами
- Организация социотехнических тестирований с применением методов соц. инженерии
- Формирование отчетности по уязвимостям в системе трекинга багов
- Активное участие в мероприятиях компании и турнирах PHDays Standoff/пр. CTF
Требования:
- Понимание основ проведения социальной инженерии, подготовка инфраструктуры для фишинга (Подготвка доменов, зеркал, нагрузок, настройка GoPhish);
- Знание методов повышения привилегий для Windows и Linux;
- Понимание основных атак на AD (kerberoast,asreproast,sysvol и gpp,password spraying)
- Умение пользоваться MSF DB, responder, mimikatz, impacket, crackmapexec,bloodhound;
- Уверенное владение bash, powershell, cmd, навыки автоматизации атак;
- Знание типовых веб-уязвимостей
- Гражданство РФ
Будет плюсом:
- Опыт работы на аналогичных позициях
- Опыт работы в ИТ/ИБ (разработка, администрирование, blue-team)
- Знание английского языка (B1+)
- Высшее техническое образование
Плюшки:
- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
* Совмещение с учебой возможно, если вы готовы к загрузке 40 часов в неделю, не важно в какое время.
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Корпоративный ноутбук (MacBook / Dell XPS)
- Офис: Метро Бауманская (БЦ Суперметалл)
Условия для соискателей:
- Либо предоставить резюме с хорошим треком, отражающим ваш опыт: соревновательные площадки, образование, опыт работы, исследования, статьи и пр.
- Либо написать отчеты по компрометации следующих виртуальных машин (тщательность и аккуратность отчета идет в зачет): https://disk.yandex.ru/d/EKhZsntxnUtbsQ, https://disk.yandex.ru/d/83NdLd3Vjp_VNA, https://disk.yandex.ru/d/8XT1oaMmqpCGjQ (Пароль от архивов: xpdK$LP1?&)
Яндекс Диск
1.rar
Посмотреть и скачать с Яндекс Диска
👍29🔥10
Forwarded from CyberED
Привет, друзья! Напоминаем, осталось 🚩 дня до старта первой задачи турнира One Task of the Month от CyberEd.
🌐 Задача запустится 9 марта в 12.00 и будет из категории WEB. На сайте уже идет обратный отсчет⏱! Обязательно выделите время на этих выходных.
На решение задачи будет дано7️⃣ дней. Первые 10 человек, решивших ее, получат по 1 баллу и попадут в итоговую таблицу рейтинга по задаче и в общий Зал Славы.
Все подробности и ответы на вопросы уже доступны на сайте One Task of the Month 🚩
А пока, присоединяйтесь к чату турнира в Telegram, чтобы следить за новостями и не пропускать уведомления о стартах новых задач.
🤗 Найдите время, чтобы проверить свои навыки в ИБ и побороться за классные призы!
🌐 Задача запустится 9 марта в 12.00 и будет из категории WEB. На сайте уже идет обратный отсчет⏱! Обязательно выделите время на этих выходных.
На решение задачи будет дано
Все подробности и ответы на вопросы уже доступны на сайте One Task of the Month 🚩
А пока, присоединяйтесь к чату турнира в Telegram, чтобы следить за новостями и не пропускать уведомления о стартах новых задач.
🤗 Найдите время, чтобы проверить свои навыки в ИБ и побороться за классные призы!
Please open Telegram to view this post
VIEW IN TELEGRAM
👏2👍1
Forwarded from Кибердом
Media is too big
VIEW IN TELEGRAM
«Информационная безопасность без женщин как весна без грозы. Обойтись можно, но уже не то».
Джентльмены из ИБ-комьюнити поздравляют всех женщин из индустрии с 8 марта и дарят свое видеопоздравление🔜
Что было бы, если бы в информационной безопасности не было женщин? Смотрите видео и узнаете.
А также подписывайтесь на канал Кибердом & Бизнес и не забывайте: мужчины - тоже люди, благодарность в комментариях приветствуется)
#поздравление
🏠 Подписаться на Кибердом & Бизнес.
Джентльмены из ИБ-комьюнити поздравляют всех женщин из индустрии с 8 марта и дарят свое видеопоздравление
Что было бы, если бы в информационной безопасности не было женщин? Смотрите видео и узнаете.
А также подписывайтесь на канал Кибердом & Бизнес и не забывайте: мужчины - тоже люди, благодарность в комментариях приветствуется)
#поздравление
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26🤯4
Запускаем прикольную историю с Кибердомом!
Надеюсь мы оживим наш старый и по-своему любимый формат оффлайн обучения, где всегда была 🔥 огненная 🔥 атмосфера 20-ки хакеров в одной аудитории решающей задачи под присмотром наставника. Надеюсь, что кому-либо из вас будет интересно.
Надеюсь мы оживим наш старый и по-своему любимый формат оффлайн обучения, где всегда была 🔥 огненная 🔥 атмосфера 20-ки хакеров в одной аудитории решающей задачи под присмотром наставника. Надеюсь, что кому-либо из вас будет интересно.
🔥6
Forwarded from CyberED
Как вы знаете, в конце прошлого года Егор Богомолов, CEO CyberEd, официально стал амбассадором Кибердома – мультиформатной площадки в Москве, посвященной только кибербезопасности, места, соединившего в себе витрину лучших российских ИБ-решений, площадку для развития профессионального комьюнити и массу других уникальных фишек 🔗подробнее о Кибердоме.
Теперь у вас есть возможность пройти курс «Анализ защищенности веб-приложений» в смешанном формате, где 50% занятий будет проходить офлайн в Кибердоме!
В чем преимущества этого курса?
Вы сможете вживую общаться с преподавателем и одногруппниками, получать мгновенные ответы на ваши вопросы и приобретете статус «друга Кибердома»: сможете приходить, общаться и работать в открытых пространствах без ограничений, посещать «немузей», киберполигон и большое количество мероприятий, заводить полезные знакомства.
Не упустите шанс оказаться в гуще событий отрасли кибербеза вместе с CyberEd!
➡️ Ознакомиться с программой и записаться на курс
Преподаватель курса - Павел Сорокин.
По окончании выдается сертификат CyberEd и Кибердома, удостоверение повышения квалификации установленного образца.
‼️Количество мест ограничено
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥4
Стажировка в команду Singleton Security
Кого мы ищем?
- Начинающих или имеющих опыт специалистов по тестированию на проникновение и анализу защищенности веб-приложений!
- Заинтересованных и уже прошедших заметный путь в этой дисциплине, изучающих направление, участвующих в CTF, практикующих новичков.
Как будет проходить отбор?
- Вы решаете предложенные задачи и пишете по ним отчет (шаблон отчета см. в прикрепленных файлах)
- После того, как Вы отправили нам отчет и свое резюме, мы его изучаем и выносим решение по отбору
- Кандидаты, отправившие самые качественные отчеты и решившие наибольшее число задач, будут приглашены на знакомство и мини-собеседование с тим лидами
- По результатам знакомств будет вынесено итоговое решение по приглашению кандидатов на стажировку
Отбор будет проходить для двух категорий участников:
- Стажеры
- Мл. Специалисты *
* Если кандидат, может показать достаточно глубокие знания предметной области, продемонстрировать опыт, который позволит ему выполнять рабочие задачи, мы готовы будем предложить ему сразу попасть в команду.
Что ждет стажеров?
- Знакомство с командой Singleton и ее подходами и практиками.
- 1.5 месяца обучения с еженедельными лекциями от участников команды.
- Доступ к рабочим задачам по поиску уязвимостей.
- Работа с наставниками.
- Минимальная оплата труда с занятостью 20 часов в неделю.
По окончании 3-х месяцев, основываясь на том, как специалист показал себя в этот период, будет принято решение о приглашении его в команду в качестве мл. специалиста.
Контакты для вопросов и отправки заявок: internship@singleton-security.ru
Ссылка на испытания: https://ctf.singleton-security.ru/register
* На сдачу заданий и отчетов 2 недели до 16.04
Кого мы ищем?
- Начинающих или имеющих опыт специалистов по тестированию на проникновение и анализу защищенности веб-приложений!
- Заинтересованных и уже прошедших заметный путь в этой дисциплине, изучающих направление, участвующих в CTF, практикующих новичков.
Как будет проходить отбор?
- Вы решаете предложенные задачи и пишете по ним отчет (шаблон отчета см. в прикрепленных файлах)
- После того, как Вы отправили нам отчет и свое резюме, мы его изучаем и выносим решение по отбору
- Кандидаты, отправившие самые качественные отчеты и решившие наибольшее число задач, будут приглашены на знакомство и мини-собеседование с тим лидами
- По результатам знакомств будет вынесено итоговое решение по приглашению кандидатов на стажировку
Отбор будет проходить для двух категорий участников:
- Стажеры
- Мл. Специалисты *
* Если кандидат, может показать достаточно глубокие знания предметной области, продемонстрировать опыт, который позволит ему выполнять рабочие задачи, мы готовы будем предложить ему сразу попасть в команду.
Что ждет стажеров?
- Знакомство с командой Singleton и ее подходами и практиками.
- 1.5 месяца обучения с еженедельными лекциями от участников команды.
- Доступ к рабочим задачам по поиску уязвимостей.
- Работа с наставниками.
- Минимальная оплата труда с занятостью 20 часов в неделю.
По окончании 3-х месяцев, основываясь на том, как специалист показал себя в этот период, будет принято решение о приглашении его в команду в качестве мл. специалиста.
Контакты для вопросов и отправки заявок: internship@singleton-security.ru
Ссылка на испытания: https://ctf.singleton-security.ru/register
* На сдачу заданий и отчетов 2 недели до 16.04
🔥17👍12👏3💩1
YAH
Стажировка в команду Singleton Security Кого мы ищем? - Начинающих или имеющих опыт специалистов по тестированию на проникновение и анализу защищенности веб-приложений! - Заинтересованных и уже прошедших заметный путь в этой дисциплине, изучающих направление…
Report_template.docx
89.8 KB
Формат отчёта.
Forwarded from CyberED
6 апреля мы запустим вторую задачу из категории PWN. Не пропустите старт, чтобы успеть вовремя включиться в гонку за первые места🚀
Во время старта новой задачи будет опубликован writeup победителя первой задачи - MDN
Добавляйтесь в чат Телеграм, чтобы быть в курсе всех новостей: t.me/CyberEd_CTF_chat.
Задачу запускаем 6 апреля в 12:00 по МСК.
Желаем вам удачи и успеха в решении!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Яндекс открыл сезон охоты на Едадил 🐊
Яндекс запускает новый конкурс в рамках программы «Охота за ошибками». Багхантерам предлагают поохотиться на уязвимости в Едадиле — сервисе, который помогает находить продукты со скидкой, покупать их с кешбэком, копить и выводить его, а магазинам заводить карточки товаров. В продукте с таким широким функционалом багхантер наверняка найдёт чем заняться 💰
До 20 апреля Яндекс будет выплачивать баунти в двойном объёме, подробности можно найти здесь.
P. S. Напоминаем, что реальных пользователей атаковать нельзя — используйте только тестовые учётные записи.
Подписывайтесь: 💬 @yandex_bugbounty
Яндекс запускает новый конкурс в рамках программы «Охота за ошибками». Багхантерам предлагают поохотиться на уязвимости в Едадиле — сервисе, который помогает находить продукты со скидкой, покупать их с кешбэком, копить и выводить его, а магазинам заводить карточки товаров. В продукте с таким широким функционалом багхантер наверняка найдёт чем заняться 💰
До 20 апреля Яндекс будет выплачивать баунти в двойном объёме, подробности можно найти здесь.
P. S. Напоминаем, что реальных пользователей атаковать нельзя — используйте только тестовые учётные записи.
Подписывайтесь: 💬 @yandex_bugbounty
🔥8👍6🎉3