Блог начинающего Bug Хантера. Уязвимости при SMS-аутентификации + Кейсы. Часть 3.1
Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми описанными типами уязвимостями встречался на пентестах и на BugBounty.
Читать: https://codeby.net/threads/blog-nachinajuschego-bug-xantera-ujazvimosti-pri-sms-autentifikacii-kejsy-chast-3-1.73191/
#bug #bounty #sms
Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми описанными типами уязвимостями встречался на пентестах и на BugBounty.
Читать: https://codeby.net/threads/blog-nachinajuschego-bug-xantera-ujazvimosti-pri-sms-autentifikacii-kejsy-chast-3-1.73191/
#bug #bounty #sms
Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2
Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о недавно открытой программе Bug Bounty от Азбуки Вкуса.
📌 Читать статью: https://codeby.net/threads/blog-nachinajuschego-bug-xantera-ischem-bagi-za-edu-chast-2.73137/
📝 Школа Кодебай |🍿 YouTube |🌀 ВКонтакте
#bug #bounty
Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о недавно открытой программе Bug Bounty от Азбуки Вкуса.
📌 Читать статью: https://codeby.net/threads/blog-nachinajuschego-bug-xantera-ischem-bagi-za-edu-chast-2.73137/
📝 Школа Кодебай |🍿 YouTube |🌀 ВКонтакте
#bug #bounty
Немного о «Моем Мире» и обнаруженном баге на заблокированной странице
Тем не менее, там можно отыскать странички разных пользователей. Иногда пользователей блокируют, иногда доступ к странице для незарегистрированных пользователей закрыт. Но, именно это и вызывает много вопросов и удивление. Обнаружено это было случайно и не бог весть какой баг. Так, небольшая недоработка программистов. Но, даже если на странице висит баннер о том, что страница заблокирована и из всей информации доступно лишь имя пользователя, тем не менее, зайдя в код страницы можно легко обнаружить скрытую на странице информацию.
📌 Читать статью
#python #bug #socnet
Тем не менее, там можно отыскать странички разных пользователей. Иногда пользователей блокируют, иногда доступ к странице для незарегистрированных пользователей закрыт. Но, именно это и вызывает много вопросов и удивление. Обнаружено это было случайно и не бог весть какой баг. Так, небольшая недоработка программистов. Но, даже если на странице висит баннер о том, что страница заблокирована и из всей информации доступно лишь имя пользователя, тем не менее, зайдя в код страницы можно легко обнаружить скрытую на странице информацию.
📌 Читать статью
#python #bug #socnet
Forwarded from Positive Events
Media is too big
VIEW IN TELEGRAM
✴️ Как прошла кибербитва. Команды красных
Стартовый день The Standoff был насыщенным. Первое недопустимое событие команда DeteAct реализовала спустя всего 130 минут после начала киберучений, нарушив работу системы продажи билетов. А команда Codeby в тот же день с помощью социнженерии получила доступ к базе данных компании Heavy Logistics.
На второй день True0xA3 с помощью вируса-шифровальщика нанесли ущерб IT-инфраструктуре компании Tube. К концу третьего дня было реализовано 18 уникальных недопустимых событий. Baguette2Pain, True0xA3 и Codeby ломали нефтеперерабатывающий завод, а Invuls и EvilBunnyWrote — УК City.
Всего за четыре дня киберучений «красные» сдали 295 отчетов об уязвимостях и реализовали 63 недопустимых события, из них 30 уникальных. Победителями со стороны атакующих стали Codeby (27 715 баллов), второе место заняла команда True0xA3 (23 381 балл), третье — Invuls (12 352 балла).
Регистрируйтесь, исследуйте — список программ на сайте: https://standoff365.com/#bug-bounty
Стартовый день The Standoff был насыщенным. Первое недопустимое событие команда DeteAct реализовала спустя всего 130 минут после начала киберучений, нарушив работу системы продажи билетов. А команда Codeby в тот же день с помощью социнженерии получила доступ к базе данных компании Heavy Logistics.
На второй день True0xA3 с помощью вируса-шифровальщика нанесли ущерб IT-инфраструктуре компании Tube. К концу третьего дня было реализовано 18 уникальных недопустимых событий. Baguette2Pain, True0xA3 и Codeby ломали нефтеперерабатывающий завод, а Invuls и EvilBunnyWrote — УК City.
Всего за четыре дня киберучений «красные» сдали 295 отчетов об уязвимостях и реализовали 63 недопустимых события, из них 30 уникальных. Победителями со стороны атакующих стали Codeby (27 715 баллов), второе место заняла команда True0xA3 (23 381 балл), третье — Invuls (12 352 балла).
Регистрируйтесь, исследуйте — список программ на сайте: https://standoff365.com/#bug-bounty
Блог начинающего Bug Хантера. История о том, как я стал таксистом
Всем Салам! Давно не появлялся на форуме, да и вообще нигде не писал и не выступал. Решил больше времени уделить на прокачивание хард и софт скиллов. Но теперь я решил возобновить свою активность в сети по мере возможности буду писать. Также у меня появился канал в телеграм, где я публикую какие-то краткие заметки из пентестов, багбаунти и менеджмента: Bounty On Coffee. Так что присоединяйтесь.
📌 Читать статью
#bug #bounty
Всем Салам! Давно не появлялся на форуме, да и вообще нигде не писал и не выступал. Решил больше времени уделить на прокачивание хард и софт скиллов. Но теперь я решил возобновить свою активность в сети по мере возможности буду писать. Также у меня появился канал в телеграм, где я публикую какие-то краткие заметки из пентестов, багбаунти и менеджмента: Bounty On Coffee. Так что присоединяйтесь.
📌 Читать статью
#bug #bounty
📄 Сотрудник HackerOne продавал отчеты белых хакеров
Согласно сообщению HackerOne, один из сотрудников компании воровал отчеты об уязвимостях, поданные через платформу «bug bounty», и раскрывал их соответствующим клиентам для того, чтобы получить финансовое вознаграждение.
Расследование HackerOne выявило, что один из сотрудников имел доступ к платформе более двух месяцев, с момента своего прихода в компанию 4 апреля до 23 июня, и связался с семью компаниями, чтобы сообщить об уязвимостях, уже раскрытых через платформу.
За некоторые из представленных отчетов недобросовестный сотрудник получал вознаграждение. Это позволило HackerOne проследить денежный след и идентифицировать сотрудника компании, который занимался раскрытием уязвимостей для «многочисленных клиентских программ».
HackerOne также уведомил хакеров на платформе, чьи материалы были получены неизвестным сотрудником. Уведомление информирует хакеров об инциденте и включает список отчетов, к которым злоумышленник смог получить доступ.
🗞 Блог Кодебай
#bug #data
Согласно сообщению HackerOne, один из сотрудников компании воровал отчеты об уязвимостях, поданные через платформу «bug bounty», и раскрывал их соответствующим клиентам для того, чтобы получить финансовое вознаграждение.
Расследование HackerOne выявило, что один из сотрудников имел доступ к платформе более двух месяцев, с момента своего прихода в компанию 4 апреля до 23 июня, и связался с семью компаниями, чтобы сообщить об уязвимостях, уже раскрытых через платформу.
За некоторые из представленных отчетов недобросовестный сотрудник получал вознаграждение. Это позволило HackerOne проследить денежный след и идентифицировать сотрудника компании, который занимался раскрытием уязвимостей для «многочисленных клиентских программ».
HackerOne также уведомил хакеров на платформе, чьи материалы были получены неизвестным сотрудником. Уведомление информирует хакеров об инциденте и включает список отчетов, к которым злоумышленник смог получить доступ.
🗞 Блог Кодебай
#bug #data
Историческая вирусология: сказание о мировом кровотечении - уязвимость HeartBleed: или как я случайно нашел несколько дыр в Codeby
Приветики, на повестке дня - очередная статейка по Исторической вирусологии, и теперь у нас разборе уже не червь из временного промежутка тысячи лет до нашей эры, а реальная история из 2014 года, а ведь это было так, вроде бы, недавно. HeartBleed - сердечное кровотечение или как одна ошибка чуть не уничтожила мир, поехали.
📌 Читать далее
#history #bug
Приветики, на повестке дня - очередная статейка по Исторической вирусологии, и теперь у нас разборе уже не червь из временного промежутка тысячи лет до нашей эры, а реальная история из 2014 года, а ведь это было так, вроде бы, недавно. HeartBleed - сердечное кровотечение или как одна ошибка чуть не уничтожила мир, поехали.
📌 Читать далее
#history #bug
Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2
Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5.
📌 Читать далее
#bug #bounty
Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5.
📌 Читать далее
#bug #bounty
Блог начинающего Bug Хантера. Уязвимости при SMS-аутентификации + Кейсы. Часть 3.1
Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми описанными типами уязвимостями встречался на пентестах и на BugBounty. К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
📌 Читать далее
#bug #bounty #sms
Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми описанными типами уязвимостями встречался на пентестах и на BugBounty. К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
📌 Читать далее
#bug #bounty #sms
🤑 Яндекс увеличит награду за уязвимости в 2 раза
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
