История из моего сна как я сдавал RCE реакт 10.0
и получил дубликат на несуществующую задачу.
Представьте ситуацию: вы багхантер, мониторите свежие CVE, и вот выходит горячая уязвимость — RCE в популярном фреймворке, CVSS 10.0. Классика жанра.
Вы быстро проверяете скоуп одной из программ на баг-баунти площадке, находите уязвимый эндпоинт, валидируете эксплуатацию, пишете отчёт. Сдаёте через ~10 часов после публикации CVE. Вроде бы всё по феншую ибо в правилах написано что поставят дубликат если она известна компании и исправляется
День 1-4: Тишина
Отчёт принят на рассмотрение. Нормально, бывает.
День 5: Первый поворот
Приходит ответ: статус "Информационный". Причина — "проблема не представляет действительную угрозу безопасности" и "не рассматриваются уязвимости 0-day или 1-day, информация о которых получена командой безопасности из открытых источников".
Окей, но стоп. В правилах программы чёрным по белому написано что общедоступные 0-day/1-day уязы также будут отнесены к дубликатам в течение пары дней после ее выхода в общий доступ, в случае если уязвимость была известна ИБ команде компании и ведутся работы над её устранением.
То есть по логике: если они знали — должен быть дубликат на их внутреннюю задачу. Не "инфо", а именно "дубликат".
Вопрос вендору
Спрашиваю: почему информ, а не дубликат с пруфом на вашу задачу, как написано в правилах?
Стебный ответ: "Мы с удовольствием поставим дубль внутренним решением, заместо выставленного ранее статуса инфо."
Отлично, жду.
Развязка
Через помощь площадки приходит уточнение от представителя: "Задачу не поставили — не успели."
То есть:
Они ссылаются на правило про дубликаты
По правилам дубликат ставится на существующую задачу
Задачи нет, потому что "не успели"
Дубликат всё равно ставят
Формально — дубликат на пустоту. Фактически — нашли способ не платить за валидный RCE.
Выводы для коллег
CVE-хантинг в багбаунти — лотерея. Даже если вы первый, вендор может сослаться на "внутреннюю осведомлённость" без доказательств.
Правила работают в одну сторону. Вас тыкают носом в правила, но когда указываешь на конкретный пункт в свою пользу — находятся творческие интерпретации.
Сначала тестируй на мелочах. Прежде чем сдавать критикал, посмотри как вендор реагирует на Low/Medium. Это покажет их честность.
Фиксируй всё. Скриншоты переписки, таймстемпы, состояние отчёта. Пригодится.
Площадка не всегда поможет. Арбитраж — это хорошо, но если вендор крупный партнёр площадки, расклад может быть не в вашу пользу.
Ну и понятное дело я бы не советовал тестить новые CVE и и сразу бежать делать компании безопаснее, пусть сами защищаются
Вот такой вот интересный сон
Все совпадения с реальными компаниями случайны. Это художественный вымысел про гипотетическую ситуацию в параллельной вселенной.
и получил дубликат на несуществующую задачу.
Представьте ситуацию: вы багхантер, мониторите свежие CVE, и вот выходит горячая уязвимость — RCE в популярном фреймворке, CVSS 10.0. Классика жанра.
Вы быстро проверяете скоуп одной из программ на баг-баунти площадке, находите уязвимый эндпоинт, валидируете эксплуатацию, пишете отчёт. Сдаёте через ~10 часов после публикации CVE. Вроде бы всё по феншую ибо в правилах написано что поставят дубликат если она известна компании и исправляется
День 1-4: Тишина
Отчёт принят на рассмотрение. Нормально, бывает.
День 5: Первый поворот
Приходит ответ: статус "Информационный". Причина — "проблема не представляет действительную угрозу безопасности" и "не рассматриваются уязвимости 0-day или 1-day, информация о которых получена командой безопасности из открытых источников".
Окей, но стоп. В правилах программы чёрным по белому написано что общедоступные 0-day/1-day уязы также будут отнесены к дубликатам в течение пары дней после ее выхода в общий доступ, в случае если уязвимость была известна ИБ команде компании и ведутся работы над её устранением.
То есть по логике: если они знали — должен быть дубликат на их внутреннюю задачу. Не "инфо", а именно "дубликат".
Вопрос вендору
Спрашиваю: почему информ, а не дубликат с пруфом на вашу задачу, как написано в правилах?
Стебный ответ: "Мы с удовольствием поставим дубль внутренним решением, заместо выставленного ранее статуса инфо."
Отлично, жду.
Развязка
Через помощь площадки приходит уточнение от представителя: "Задачу не поставили — не успели."
То есть:
Они ссылаются на правило про дубликаты
По правилам дубликат ставится на существующую задачу
Задачи нет, потому что "не успели"
Дубликат всё равно ставят
Формально — дубликат на пустоту. Фактически — нашли способ не платить за валидный RCE.
Выводы для коллег
CVE-хантинг в багбаунти — лотерея. Даже если вы первый, вендор может сослаться на "внутреннюю осведомлённость" без доказательств.
Правила работают в одну сторону. Вас тыкают носом в правила, но когда указываешь на конкретный пункт в свою пользу — находятся творческие интерпретации.
Сначала тестируй на мелочах. Прежде чем сдавать критикал, посмотри как вендор реагирует на Low/Medium. Это покажет их честность.
Фиксируй всё. Скриншоты переписки, таймстемпы, состояние отчёта. Пригодится.
Площадка не всегда поможет. Арбитраж — это хорошо, но если вендор крупный партнёр площадки, расклад может быть не в вашу пользу.
Ну и понятное дело я бы не советовал тестить новые CVE и и сразу бежать делать компании безопаснее, пусть сами защищаются
Вот такой вот интересный сон
Все совпадения с реальными компаниями случайны. Это художественный вымысел про гипотетическую ситуацию в параллельной вселенной.
😢7🖕4🤝3💯1🤨1
что нового произошло, в общем я же цели ставил - найти до конца этого квартала 3 отчета на багбаунти ВК, начал ровно за 25 дней до конца, сроки поджимали.
за 15 дней работы я действительно нашел эти 3 отчета, все они оказались дубликатами, за один даже парнишке 30к заплатили, впрочем пулю в висок мне пустили, был бы удачливее, мерч бы получил, все же там разница порой была в днях между нашими отчетами
вк действительно защищенная площадка, но если искать на ней - уязвимости до сих пор есть, csrf, xss и прочие, просто нужен особый подход, и копать в глубь апи, а не искать на самом сайте.
хардкорный влет в программу тоже мне дал тонну знаний, каждый день начинается с поиска новых методологий и поиска новых векторов атак, не жалею о таком опыте, хоть и фейловом
проханчу фастом все другие программы на багбаунти и пойду поднимать теорию + впервые проходить лабы и ctf по вебу, все же пора стать выше на несколько голов чем я есть.
за 15 дней работы я действительно нашел эти 3 отчета, все они оказались дубликатами, за один даже парнишке 30к заплатили, впрочем пулю в висок мне пустили, был бы удачливее, мерч бы получил, все же там разница порой была в днях между нашими отчетами
вк действительно защищенная площадка, но если искать на ней - уязвимости до сих пор есть, csrf, xss и прочие, просто нужен особый подход, и копать в глубь апи, а не искать на самом сайте.
хардкорный влет в программу тоже мне дал тонну знаний, каждый день начинается с поиска новых методологий и поиска новых векторов атак, не жалею о таком опыте, хоть и фейловом
проханчу фастом все другие программы на багбаунти и пойду поднимать теорию + впервые проходить лабы и ctf по вебу, все же пора стать выше на несколько голов чем я есть.
🔥3
payloads xss Heartbleed.txt
4.5 KB
ну и как как всегда, чтобы пост не был совсем бесполезным, заливаю свои отобранные xss пейлоады, каждый из них обходит определенную регулярку ваф, на обучающих тестовых стендах каждый пейлоад проверял, именно ими я нашел рефлектед на авито, купере и майле, но сейчас вряд ли прокнут :)
❤5🔥1
генерация нового материала для саморазвития.
попробовал через базовую нейросетку сгенерировать себе книжку по багбаунти и веб хакингу на основе последних имеющихся знаниях о сфере
ограничения бесплатной версии конечно не дают раскрыть фулл потенциал этой ветки обучения, но то что выдает базовая нейросеть мне очень зашло.
довольно жизненно, вайбово и правдиво, и впринципе даже красиво.
тем у кого есть прошка, можете скрафтить норм версию, странно что никто еще казалось бы до такого не додумался.. ибо портсвиггеры и прочие платформы довольно сухие, не хватает какой то человечности что ли...
попробовал через базовую нейросетку сгенерировать себе книжку по багбаунти и веб хакингу на основе последних имеющихся знаниях о сфере
ограничения бесплатной версии конечно не дают раскрыть фулл потенциал этой ветки обучения, но то что выдает базовая нейросеть мне очень зашло.
довольно жизненно, вайбово и правдиво, и впринципе даже красиво.
тем у кого есть прошка, можете скрафтить норм версию, странно что никто еще казалось бы до такого не додумался.. ибо портсвиггеры и прочие платформы довольно сухие, не хватает какой то человечности что ли...
❤7
This media is not supported in your browser
VIEW IN TELEGRAM
зашел почитать официальную доку гугла, у них xss прокает в самых базовых местах хд, нигде от багхантинга не уйти
https://web.dev/learn/images/history
https://web.dev/learn/images/history
😁6❤5
с наступающим мои смурфы, как всегда завершаю год подытоживающим постом и пожеланиями
год кончился, я не добился своих целей, не стал на голову выше, наверно это скорее год неудач, но…
менее счастливым я не стал, я наоборот стал ценить то что у меня есть, радоваться любой мелочи, и ценить людей вокруг.
раньше я считал, то что навыки и знания это самое главное, но это не так.
важно любить этот мир, своих близких, быть добрым, относиться к миру проще
у людей часто может появиться высокомерие из-за своих достижений, что они начинают относиться к людям или другим существам неподобающе
каждая форма жизни заслуживает уважения и любви, по какой то причине люди возомнили себя богами
поэтому желаю вам в новом году научиться любить себя, людей вокруг и сам мир, все же нам всем повезло встретиться именно в эту эпоху и в это время
год кончился, я не добился своих целей, не стал на голову выше, наверно это скорее год неудач, но…
менее счастливым я не стал, я наоборот стал ценить то что у меня есть, радоваться любой мелочи, и ценить людей вокруг.
раньше я считал, то что навыки и знания это самое главное, но это не так.
важно любить этот мир, своих близких, быть добрым, относиться к миру проще
у людей часто может появиться высокомерие из-за своих достижений, что они начинают относиться к людям или другим существам неподобающе
каждая форма жизни заслуживает уважения и любви, по какой то причине люди возомнили себя богами
поэтому желаю вам в новом году научиться любить себя, людей вокруг и сам мир, все же нам всем повезло встретиться именно в эту эпоху и в это время
❤21🎄5🔥2
через 2 дня поеду покорять москву, рассмотрю вакансии пентестера, тестировщика или триажера (удаленка / мск),
может встретимся с кем то из вас, открыт для любого движа
может даже скоро придется пожить хардкорной жизнью хакера-бомжа на теплотрассе (шутка) , поэтому кто желает может поддержать вашего сенсея скинув пару шекелей
только смотрите хуйней не страдайте, я то знаю вас😳
+79889815666 - ВТБ
2200 2404 2282 6509
сча разгребусь с кучей дел, снова наделаю вам статеек по хакингу, осинту и прочим приколюхам, подождите немного
p.s братишка постом ниже, отжимайся соточку
может встретимся с кем то из вас, открыт для любого движа
может даже скоро придется пожить хардкорной жизнью хакера-бомжа на теплотрассе (шутка) , поэтому кто желает может поддержать вашего сенсея скинув пару шекелей
только смотрите хуйней не страдайте, я то знаю вас😳
сча разгребусь с кучей дел, снова наделаю вам статеек по хакингу, осинту и прочим приколюхам, подождите немного
p.s братишка постом ниже, отжимайся соточку
❤8🐳2
Forwarded from roleGIVEME 500 bucks
Новогодний багхантерский подкаст☃️
В этом выпуске подкаста три непонятых гения русского ИБ собрались, чтобы обсудить прошедший год и важные вопросы багбаунти.
Всем приятного просмотра!
За каждый репост rolegiv_BugBounty будет отжиматься 100 раз...
Участники:
🔵 rolegiv_BugBounty
🔵 MrKaban4ik
🔵 Lanyac
🔗 Ссылки
💙 VK Видео
📹 YouTube
В этом выпуске подкаста три непонятых гения русского ИБ собрались, чтобы обсудить прошедший год и важные вопросы багбаунти.
Всем приятного просмотра!
За каждый репост rolegiv_BugBounty будет отжиматься 100 раз...
Участники:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
переехал к другу, надо было обзавестись свободным входом в подъезд
скопировал ключик от домофона - не открывает
базовые контакты флиппера не смогли открыть домофон (как и 90% других, ибо слишком короткие)
чекнули цены ibutton модуля - от 1к рублей минималка
по итогу решили сделать сами из того, что лежит дома, по себестоимости вышло практически бесплатно, ну может рублей 5, интересно рынок устроен
скопировал ключик от домофона - не открывает
базовые контакты флиппера не смогли открыть домофон (как и 90% других, ибо слишком короткие)
чекнули цены ibutton модуля - от 1к рублей минималка
по итогу решили сделать сами из того, что лежит дома, по себестоимости вышло практически бесплатно, ну может рублей 5, интересно рынок устроен
❤4😁1
This media is not supported in your browser
VIEW IN TELEGRAM
❤8
This media is not supported in your browser
VIEW IN TELEGRAM
❤10
This media is not supported in your browser
VIEW IN TELEGRAM
❤8🔥3
я знаю что вы зашли смотреть как я модифицирую тамагочи (нет), в общем заказал же модулей с флиппер маркета, самое интересное и трудное - LED модуль, надо было вскрывать, распаивать эту парашу все дела
вроде всё работает, ничего не наебнулось, теперь он не ощущается так дешево как раньше
вроде всё работает, ничего не наебнулось, теперь он не ощущается так дешево как раньше
❤6
This media is not supported in your browser
VIEW IN TELEGRAM
❤3
This media is not supported in your browser
VIEW IN TELEGRAM
❤5
охх много же трафика налетело на канал, вступительного поста я так и не делал - начинаем
если ты попал сюда - то наверно интесуешься хакингом, информационной безопасностью, осинтом и другими подобными сферами😱
это местечко третье продолжение остальных моих проектов по бесплатному альтруистичному развитию людей в этом искусстве
точно знаю, что если не сказать тебе читать всё с нуля, то ты этого и не сделаешь, поэтому если ты действительно за знаниями - дерзай
первый
второй
мне нравится смотреть на хакинг через призму рофла и простоты, поэтому многие меня еще могут знать как багхантера который ставит глупые цели по типу:
решил сдать по 1 уязвимости в каждой из программ без повторений, 13 разных компаний кстати собрал, и сломал ачивку случайно зарепортив две подряд, поэтому бросил эту игрушку
мой старый бб профиль
имею кое какой бекграунд в некоторых других айтишных сферах, веб разработка, системное администрирование, программирование и прочая чепуха, поэтому..
если чем то интересуешься - не бойся задать мне вопрос в лс, я такой же обычный человек😯
если ты попал сюда - то наверно интесуешься хакингом, информационной безопасностью, осинтом и другими подобными сферами
это местечко третье продолжение остальных моих проектов по бесплатному альтруистичному развитию людей в этом искусстве
точно знаю, что если не сказать тебе читать всё с нуля, то ты этого и не сделаешь, поэтому если ты действительно за знаниями - дерзай
первый
второй
мне нравится смотреть на хакинг через призму рофла и простоты, поэтому многие меня еще могут знать как багхантера который ставит глупые цели по типу:
решил сдать по 1 уязвимости в каждой из программ без повторений, 13 разных компаний кстати собрал, и сломал ачивку случайно зарепортив две подряд, поэтому бросил эту игрушку
мой старый бб профиль
имею кое какой бекграунд в некоторых других айтишных сферах, веб разработка, системное администрирование, программирование и прочая чепуха, поэтому..
если чем то интересуешься - не бойся задать мне вопрос в лс, я такой же обычный человек
Please open Telegram to view this post
VIEW IN TELEGRAM