История из моего сна как я сдавал RCE реакт 10.0
и получил дубликат на несуществующую задачу.

Представьте ситуацию: вы багхантер, мониторите свежие CVE, и вот выходит горячая уязвимость — RCE в популярном фреймворке, CVSS 10.0. Классика жанра.
Вы быстро проверяете скоуп одной из программ на баг-баунти площадке, находите уязвимый эндпоинт, валидируете эксплуатацию, пишете отчёт. Сдаёте через ~10 часов после публикации CVE. Вроде бы всё по феншую ибо в правилах написано что поставят дубликат если она известна компании и исправляется

День 1-4: Тишина
Отчёт принят на рассмотрение. Нормально, бывает.

День 5: Первый поворот
Приходит ответ: статус "Информационный". Причина — "проблема не представляет действительную угрозу безопасности" и "не рассматриваются уязвимости 0-day или 1-day, информация о которых получена командой безопасности из открытых источников".

Окей, но стоп. В правилах программы чёрным по белому написано что общедоступные 0-day/1-day уязы также будут отнесены к дубликатам в течение пары дней после ее выхода в общий доступ, в случае если уязвимость была известна ИБ команде компании и ведутся работы над её устранением.

То есть по логике: если они знали — должен быть дубликат на их внутреннюю задачу. Не "инфо", а именно "дубликат".

Вопрос вендору
Спрашиваю: почему информ, а не дубликат с пруфом на вашу задачу, как написано в правилах?

Стебный ответ: "Мы с удовольствием поставим дубль внутренним решением, заместо выставленного ранее статуса инфо."

Отлично, жду.
Развязка
Через помощь площадки приходит уточнение от представителя: "Задачу не поставили — не успели."
То есть:

Они ссылаются на правило про дубликаты
По правилам дубликат ставится на существующую задачу
Задачи нет, потому что "не успели"
Дубликат всё равно ставят

Формально — дубликат на пустоту. Фактически — нашли способ не платить за валидный RCE.

Выводы для коллег

CVE-хантинг в багбаунти — лотерея. Даже если вы первый, вендор может сослаться на "внутреннюю осведомлённость" без доказательств.
Правила работают в одну сторону. Вас тыкают носом в правила, но когда указываешь на конкретный пункт в свою пользу — находятся творческие интерпретации.

Сначала тестируй на мелочах. Прежде чем сдавать критикал, посмотри как вендор реагирует на Low/Medium. Это покажет их честность.
Фиксируй всё. Скриншоты переписки, таймстемпы, состояние отчёта. Пригодится.
Площадка не всегда поможет. Арбитраж — это хорошо, но если вендор крупный партнёр площадки, расклад может быть не в вашу пользу.

Ну и понятное дело я бы не советовал тестить новые CVE и и сразу бежать делать компании безопаснее, пусть сами защищаются

Вот такой вот интересный сон
Все совпадения с реальными компаниями случайны. Это художественный вымысел про гипотетическую ситуацию в параллельной вселенной.
😢7🖕4🤝3💯1🤨1
что нового произошло, в общем я же цели ставил - найти до конца этого квартала 3 отчета на багбаунти ВК, начал ровно за 25 дней до конца, сроки поджимали.

за 15 дней работы я действительно нашел эти 3 отчета, все они оказались дубликатами, за один даже парнишке 30к заплатили, впрочем пулю в висок мне пустили, был бы удачливее, мерч бы получил, все же там разница порой была в днях между нашими отчетами

вк действительно защищенная площадка, но если искать на ней - уязвимости до сих пор есть, csrf, xss и прочие, просто нужен особый подход, и копать в глубь апи, а не искать на самом сайте.

хардкорный влет в программу тоже мне дал тонну знаний, каждый день начинается с поиска новых методологий и поиска новых векторов атак, не жалею о таком опыте, хоть и фейловом

проханчу фастом все другие программы на багбаунти и пойду поднимать теорию + впервые проходить лабы и ctf по вебу, все же пора стать выше на несколько голов чем я есть.
🔥3
payloads xss Heartbleed.txt
4.5 KB
ну и как как всегда, чтобы пост не был совсем бесполезным, заливаю свои отобранные xss пейлоады, каждый из них обходит определенную регулярку ваф, на обучающих тестовых стендах каждый пейлоад проверял, именно ими я нашел рефлектед на авито, купере и майле, но сейчас вряд ли прокнут :)
5🔥1
генерация нового материала для саморазвития.

попробовал через базовую нейросетку сгенерировать себе книжку по багбаунти и веб хакингу на основе последних имеющихся знаниях о сфере

ограничения бесплатной версии конечно не дают раскрыть фулл потенциал этой ветки обучения, но то что выдает базовая нейросеть мне очень зашло.

довольно жизненно, вайбово и правдиво, и впринципе даже красиво.
тем у кого есть прошка, можете скрафтить норм версию, странно что никто еще казалось бы до такого не додумался.. ибо портсвиггеры и прочие платформы довольно сухие, не хватает какой то человечности что ли...
7
This media is not supported in your browser
VIEW IN TELEGRAM
зашел почитать официальную доку гугла, у них xss прокает в самых базовых местах хд, нигде от багхантинга не уйти

https://web.dev/learn/images/history
😁65
с наступающим мои смурфы, как всегда завершаю год подытоживающим постом и пожеланиями

год кончился, я не добился своих целей, не стал на голову выше, наверно это скорее год неудач, но…

менее счастливым я не стал, я наоборот стал ценить то что у меня есть, радоваться любой мелочи, и ценить людей вокруг.

раньше я считал, то что навыки и знания это самое главное, но это не так.

важно любить этот мир, своих близких, быть добрым, относиться к миру проще

у людей часто может появиться высокомерие из-за своих достижений, что они начинают относиться к людям или другим существам неподобающе

каждая форма жизни заслуживает уважения и любви, по какой то причине люди возомнили себя богами

поэтому желаю вам в новом году научиться любить себя, людей вокруг и сам мир, все же нам всем повезло встретиться именно в эту эпоху и в это время
21🎄5🔥2
через 2 дня поеду покорять москву, рассмотрю вакансии пентестера, тестировщика или триажера (удаленка / мск),
может встретимся с кем то из вас, открыт для любого движа

может даже скоро придется пожить хардкорной жизнью хакера-бомжа на теплотрассе (шутка) , поэтому кто желает может поддержать вашего сенсея скинув пару шекелей
только смотрите хуйней не страдайте, я то знаю вас😳

+79889815666 - ВТБ
2200 2404 2282 6509

сча разгребусь с кучей дел, снова наделаю вам статеек по хакингу, осинту и прочим приколюхам, подождите немного

p.s братишка постом ниже, отжимайся соточку
8🐳2
Forwarded from roleGIVEME 500 bucks
Новогодний багхантерский подкаст☃️

В этом выпуске подкаста три непонятых гения русского ИБ собрались, чтобы обсудить прошедший год и важные вопросы багбаунти.

Всем приятного просмотра!
За каждый репост rolegiv_BugBounty будет отжиматься 100 раз...

Участники:
🔵 rolegiv_BugBounty
🔵 MrKaban4ik
🔵 Lanyac

🔗Ссылки
💙 VK Видео
📹 YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
переехал к другу, надо было обзавестись свободным входом в подъезд

скопировал ключик от домофона - не открывает

базовые контакты флиппера не смогли открыть домофон (как и 90% других, ибо слишком короткие)

чекнули цены ibutton модуля - от 1к рублей минималка

по итогу решили сделать сами из того, что лежит дома, по себестоимости вышло практически бесплатно, ну может рублей 5, интересно рынок устроен
4😁1
This media is not supported in your browser
VIEW IN TELEGRAM
8
This media is not supported in your browser
VIEW IN TELEGRAM
10
This media is not supported in your browser
VIEW IN TELEGRAM
8🔥3
я знаю что вы зашли смотреть как я модифицирую тамагочи (нет), в общем заказал же модулей с флиппер маркета, самое интересное и трудное - LED модуль, надо было вскрывать, распаивать эту парашу все дела

вроде всё работает, ничего не наебнулось, теперь он не ощущается так дешево как раньше
6
This media is not supported in your browser
VIEW IN TELEGRAM
3
This media is not supported in your browser
VIEW IN TELEGRAM
5
охх много же трафика налетело на канал, вступительного поста я так и не делал - начинаем

если ты попал сюда - то наверно интесуешься хакингом, информационной безопасностью, осинтом и другими подобными сферами😱

это местечко третье продолжение остальных моих проектов по бесплатному альтруистичному развитию людей в этом искусстве

точно знаю, что если не сказать тебе читать всё с нуля, то ты этого и не сделаешь, поэтому если ты действительно за знаниями - дерзай

первый
второй

мне нравится смотреть на хакинг через призму рофла и простоты, поэтому многие меня еще могут знать как багхантера который ставит глупые цели по типу:

решил сдать по 1 уязвимости в каждой из программ без повторений, 13 разных компаний кстати собрал, и сломал ачивку случайно зарепортив две подряд, поэтому бросил эту игрушку

мой старый бб профиль

имею кое какой бекграунд в некоторых других айтишных сферах, веб разработка, системное администрирование, программирование и прочая чепуха, поэтому..

если чем то интересуешься - не бойся задать мне вопрос в лс, я такой же обычный человек😯
Please open Telegram to view this post
VIEW IN TELEGRAM
12