Media is too big
VIEW IN TELEGRAM
Дано: у нас есть куча подарков и несколько событий на киберполигоне, которые пока что не всем по зубам.
Найти: пользователей, которые смогут набрать как можно больше баллов по критическим событиям на киберполигоне, которые не были реализованы или поддались лишь единицам:
https://range.standoff365.com/battle/5/risk/419/
https://range.standoff365.com/battle/5/risk/420/
https://range.standoff365.com/battle/5/risk/227/
https://range.standoff365.com/battle/5/risk/239
https://range.standoff365.com/battle/5/risk/234
https://range.standoff365.com/battle/5/risk/220/
https://range.standoff365.com/battle/5/risk/219/
https://range.standoff365.com/battle/5/risk/218/
https://range.standoff365.com/battle/5/risk/207/
https://range.standoff365.com/battle/5/risk/202/
Решение: тех, кому это удастся, ждут призы: футболки, настолки «Дженга», дождевики, полотенца, стикерпаки и другие крутые вещи.
Первому, кто реализует все эти события до 29 февраля, подарим флиппер, за второе и третье места — дадим дополнительные подарки.
🤘 Стартуем прямо сейчас! Присоединяйся к охоте на мерч! Удачи!
Please open Telegram to view this post
VIEW IN TELEGRAM
Так вот, тому, кто найдет самую дорогую уязвимость и сдаст ее на Standoff 365, мы оплатим дорогу на ивент. Если ты не из Москвы, купим билеты туда и обратно, а если из столицы — довезем по-королевски, на Ультиме.
Напоминаем условия:
Баги искать здесь: https://bugbounty.standoff365.com/vendors/vk/
Please open Telegram to view this post
VIEW IN TELEGRAM
C 21 февраля в него включены шесть дополнительных доменов:
Напоминаем, что максимальное баунти по программе — 250 000 ₽.
Сможешь первым найти баг в обновленном скоупе?
Please open Telegram to view this post
VIEW IN TELEGRAM
Новая программа багбаунти от Минцифры 👍
Исследуйте защищенность портала «Госвеб» — единой платформы официальных государственных сайтов. С ее помощью госорганы и бюджетные учреждения могут создавать унифицированные сайты, которые позволят объединить более 150 тысяч разрозненных страниц.
Скоуп для багхантинга:
• 109.207.1.46
• 213.59.253.39
• *.gosweb.gosuslugi.ru
Максимальное вознаграждение за найденные уязвимости — до 500 тысяч рублей!
Сделать электронное правительство безопаснее и заработать можно тут: https://bugbounty.standoff365.com/vendors/digital-gov/
Исследуйте защищенность портала «Госвеб» — единой платформы официальных государственных сайтов. С ее помощью госорганы и бюджетные учреждения могут создавать унифицированные сайты, которые позволят объединить более 150 тысяч разрозненных страниц.
Скоуп для багхантинга:
• 109.207.1.46
• 213.59.253.39
• *.gosweb.gosuslugi.ru
Максимальное вознаграждение за найденные уязвимости — до 500 тысяч рублей!
Сделать электронное правительство безопаснее и заработать можно тут: https://bugbounty.standoff365.com/vendors/digital-gov/
Please open Telegram to view this post
VIEW IN TELEGRAM
Наши доказательства? Пожалуйста! Виктор Зварыкин (aka VeeZy) в своей статье на Хабре рассказал про реализацию самого красивого (по его мнению) критически опасного события на полигоне.
И как рассказал! Будто это не просто «Оплата товаров по QR-кодам за счет украденных средств» (7 500 баллов, между прочим), а детективный роман.
В статье — взлом новостного портала, путешествие в страну Kubernetes, вывод денег с клиентских счетов и другие увлекательные приключения.
Читай по ссылке и признавайся в комментариях, какое событие на киберполигоне считаешь самым красивым или интересным.
Please open Telegram to view this post
VIEW IN TELEGRAM
На митапе для профи Standoff Talks Анатолий Иванов, руководитель багбаунти Standoff 365, рассказал, как обнаружить необычное поведение в веб-приложении и сконвертировать его в уязвимость.
Предложенный фреймворк поможет сделать это в четыре шага.
Читай и делись с друзьями!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🛷 Готовь сани летом, а майский Standoff Hacks — зимой
«Не рановато ли для анонса Hacks, если он только 21 мая?» — спросишь ты. А мы ответим: «Не рановато!»
Тем более что вместе с ним мы принесли конкурс, победив в котором можно забить себе место на нашем priv8-ивенте.
Условия простые: найди самые дорогие баги в программах вендоров Bug Bounty Standoff 365 с 29 февраля по 19 апреля и получи приглашение на Standoff Hacks.
Разыгрываем 11 инвайтов:
1️⃣ Про эти два уже писали раньше, и они все еще не нашли своих владельцев.
2️⃣ Еще один — за самый дорогой баг по одной из этих четырех программ: Standoff 365, PT Cloud, Positive dream hunting, Positive bug hunting.
3️⃣ Оставшиеся восемь — для тех, кто сдаст отчеты по самым дорогим уязвимостям этим вендорам:
• «Азбука вкуса»
• VK
• Wildberries
• Rambler&Co
• «Тинькофф»
• Новая перевозочная компания
• Минцифры
• Ozon
Самые успешные уже получили от нас инвайт, теперь твоя очередь. Удачи! Увидимся в мае 😉
«Не рановато ли для анонса Hacks, если он только 21 мая?» — спросишь ты. А мы ответим: «Не рановато!»
Тем более что вместе с ним мы принесли конкурс, победив в котором можно забить себе место на нашем priv8-ивенте.
Условия простые: найди самые дорогие баги в программах вендоров Bug Bounty Standoff 365 с 29 февраля по 19 апреля и получи приглашение на Standoff Hacks.
Разыгрываем 11 инвайтов:
• «Азбука вкуса»
• VK
• Wildberries
• Rambler&Co
• «Тинькофф»
• Новая перевозочная компания
• Минцифры
• Ozon
Самые успешные уже получили от нас инвайт, теперь твоя очередь. Удачи! Увидимся в мае 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
👕 Целая гора мерча Standoff 365 ждет победителей!
Хотим напомнить, что в феврале мы запустили конкурс для исследователей безопасности нашего киберполигона. Но так как нам очень хочется раздать максимальное количество призов, мы решили продлить его до 13 марта.
Предварительные итоги: пока только трем участникам удалось реализовать по три критических события из десяти, входящих в скоуп. При этом целых пять критических событий пока не поддались никому.
Подробные условия — в нашем предыдущем посте. Однако есть небольшой апдейт: если до 13 марта ни один из участников не сможет реализовать все события, мы все равно раздадим призы. Но чем больше событий вам поддастся — тем больше вы получите 😉
Чтобы почувствовать себя Скруджем Макдаком в горе нашего мерча, отправляйтесь на киберполигон и испытайте его на прочность!
Хотим напомнить, что в феврале мы запустили конкурс для исследователей безопасности нашего киберполигона. Но так как нам очень хочется раздать максимальное количество призов, мы решили продлить его до 13 марта.
Предварительные итоги: пока только трем участникам удалось реализовать по три критических события из десяти, входящих в скоуп. При этом целых пять критических событий пока не поддались никому.
Подробные условия — в нашем предыдущем посте. Однако есть небольшой апдейт: если до 13 марта ни один из участников не сможет реализовать все события, мы все равно раздадим призы. Но чем больше событий вам поддастся — тем больше вы получите 😉
Чтобы почувствовать себя Скруджем Макдаком в горе нашего мерча, отправляйтесь на киберполигон и испытайте его на прочность!
This media is not supported in your browser
VIEW IN TELEGRAM
Рассказываем и показываем в новом выпуске подкаста «КиберДуршлаг». Там же — несколько примеров интересных отчетов и много полезного о поиске багов не только на работе, но и в реальной жизни.
Освобождайте часик и смотрите полный выпуск на YouTube-канале Positive Events.
Please open Telegram to view this post
VIEW IN TELEGRAM
Пока ты ждешь, отчетом занимается команда экспертов PT Expert Security Center (PT ESC), которые на Standoff 12 выступали в роли арбитров. За четыре неполных дня эти героические люди зафиксировали 20,5 тысяч инцидентов, проверили более 200 отчетов от «красных» и около 450 — от «синих».
Читай в статье на Хабре про внутреннюю кухню PT ESC — подготовку к битве, мониторинг, верификацию отчетов сразу несколькими решениями Positive Technologies — и про забавные случаи с прошлого Standoff.
Не забудь поставить 👍 в знак уважения команде глобального SOC (им точно будет приятно).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥 Розыгрыш инвайтов на Standoff Hacks продолжается!
Напомним, всего их — 11. Три по программам Positive Technologies и восемь по программам вендоров. По ним нужно сдать самый дорогой баг — подробности ищите в этом посте.
🗓 Конкурс продлится до 19 апреля — так что у вас еще есть шанс стать участником нашего priv8-ивента.
Сегодня есть уже четыре явных лидера. Они сдали самые дорогие баги по программам от:
1. Минцифры — на 200 000 рублей.
2. VK — на 90 000 рублей (на самом деле, самый дорогой с 29 февраля — 2,4 млн рублей, но сдавший его участник уже успел получить инвайт).
3. Тинькофф — на 87 800 рублей.
4. Positive Technologies (Positive bug hunting) — на 10 000 рублей.
Обращаем внимание, что лидеры по двум продуктовым программам Positive Technologies (PT NAD и PT Sandbox) все еще не определены.
Всего 40(!) отчетов находятся на рассмотрении:
• Минцифры — 11.
• VK — 9.
• Тинькофф — 7.
• Wildberries — 6.
• Азбука вкуса — 4.
• Новая перевозочная компания — 2.
• Rambler&Co — 1.
Будем делиться предварительными результатами в следующих постах — попадет ли в них ваш принятый отчет? 😉
Ищите баги, зарабатывайте и входите priv8-клуб. Удачи! ☘️
Напомним, всего их — 11. Три по программам Positive Technologies и восемь по программам вендоров. По ним нужно сдать самый дорогой баг — подробности ищите в этом посте.
🗓 Конкурс продлится до 19 апреля — так что у вас еще есть шанс стать участником нашего priv8-ивента.
Сегодня есть уже четыре явных лидера. Они сдали самые дорогие баги по программам от:
1. Минцифры — на 200 000 рублей.
2. VK — на 90 000 рублей (на самом деле, самый дорогой с 29 февраля — 2,4 млн рублей, но сдавший его участник уже успел получить инвайт).
3. Тинькофф — на 87 800 рублей.
4. Positive Technologies (Positive bug hunting) — на 10 000 рублей.
Обращаем внимание, что лидеры по двум продуктовым программам Positive Technologies (PT NAD и PT Sandbox) все еще не определены.
Всего 40(!) отчетов находятся на рассмотрении:
• Минцифры — 11.
• VK — 9.
• Тинькофф — 7.
• Wildberries — 6.
• Азбука вкуса — 4.
• Новая перевозочная компания — 2.
• Rambler&Co — 1.
Будем делиться предварительными результатами в следующих постах — попадет ли в них ваш принятый отчет? 😉
Ищите баги, зарабатывайте и входите priv8-клуб. Удачи! ☘️
Конкурс завершился, а мерч остался! 👕
Мы не оставляем попыток найти тех, кому поддадутся до сих пор не реализованные никем события на онлайн-полигоне, и ищем новые способы мотивации исследователей безопасности.
И, конечно же, не забываем наградить тех, кого обещали.
Итоги конкурса
🐬 Flipper Zero достается исследователю, реализовавшему наибольшее количество событий (3) из условий конкурса и получившему за них наибольшее количество баллов, — VeeZy.
🎒 Участникам rudnic и GorillaHacker, которые были чуть менее результативными, но также реализовали 3 события, набрав меньшее число баллов, дарим рюкзак, дженгу, футболки, дождевик, полотенце и наш фирменный напиток.
👔 Футболка, носки, блокнот и стикерпак достанутся остальным участникам конкурса: CSV, artebels, wiiz4rd, Bagley, pwned, z3ro, nu11z, 0ur0b0R0S, S4ar, cotsom, dragom, yelnurx, crypt0b0y, 3eVeHbIu, rtnvv, null3d.
А теперь про попытки найти тех, кому удастся реализовать оставшиеся события:
https://range.standoff365.com/battle/5/risk/420/
https://range.standoff365.com/battle/5/risk/227/
https://range.standoff365.com/battle/5/risk/220/
https://range.standoff365.com/battle/5/risk/207/
https://range.standoff365.com/battle/5/risk/419/
Бессрочно: первый реализовавший каждое из этих событий получит ценный подарок.
По призам, как обычно, свяжемся. Если останутся вопросы, пишите @kaleksey_pt.
Мы не оставляем попыток найти тех, кому поддадутся до сих пор не реализованные никем события на онлайн-полигоне, и ищем новые способы мотивации исследователей безопасности.
И, конечно же, не забываем наградить тех, кого обещали.
Итоги конкурса
🐬 Flipper Zero достается исследователю, реализовавшему наибольшее количество событий (3) из условий конкурса и получившему за них наибольшее количество баллов, — VeeZy.
🎒 Участникам rudnic и GorillaHacker, которые были чуть менее результативными, но также реализовали 3 события, набрав меньшее число баллов, дарим рюкзак, дженгу, футболки, дождевик, полотенце и наш фирменный напиток.
👔 Футболка, носки, блокнот и стикерпак достанутся остальным участникам конкурса: CSV, artebels, wiiz4rd, Bagley, pwned, z3ro, nu11z, 0ur0b0R0S, S4ar, cotsom, dragom, yelnurx, crypt0b0y, 3eVeHbIu, rtnvv, null3d.
А теперь про попытки найти тех, кому удастся реализовать оставшиеся события:
https://range.standoff365.com/battle/5/risk/420/
https://range.standoff365.com/battle/5/risk/227/
https://range.standoff365.com/battle/5/risk/220/
https://range.standoff365.com/battle/5/risk/207/
https://range.standoff365.com/battle/5/risk/419/
Бессрочно: первый реализовавший каждое из этих событий получит ценный подарок.
По призам, как обычно, свяжемся. Если останутся вопросы, пишите @kaleksey_pt.
🤫 Принесли новость только для тех, кто в очках, своих: с 20 марта мы открываем для красных команд отборочные соревнования на кибербитву Standoff 13. Напомним, она пройдет 22–25 мая во время киберфестиваля PHDays 2.
Почему говорим заранее? Ну, например, чтобы ты успел изучить условия, собрать свою команду и к старту был готов к чему угодно. Отбор продлится до 10 апреля.
Вся нужная информация — на сайте. А 20 марта в 17:00 мы проведем встречу в онлайне, на которой расскажем обо всем еще подробнее, так что приходи, задавай вопросы и готовься идти на медаль 🏅
P. S. Респект всем, кто нашел наш сайт раньше, чем мы о нём написали. Кажется, понятно, кого точно нужно брать в команду 😉
Почему говорим заранее? Ну, например, чтобы ты успел изучить условия, собрать свою команду и к старту был готов к чему угодно. Отбор продлится до 10 апреля.
Вся нужная информация — на сайте. А 20 марта в 17:00 мы проведем встречу в онлайне, на которой расскажем обо всем еще подробнее, так что приходи, задавай вопросы и готовься идти на медаль 🏅
P. S. Респект всем, кто нашел наш сайт раньше, чем мы о нём написали. Кажется, понятно, кого точно нужно брать в команду 😉
🎉 Билеты на киберфестиваль Positive Hack Days 2 уже в продаже!
• Вы можете самостоятельно выбрать цену для покупки билета в закрытую зону PHDays. Все деньги от продаж будут направлены в благотворительный фонд «Подари жизнь».
• Минимальная сумма — 1000 рублей. Количество билетов ограничено.
• Будет и открытая часть киберфестиваля — ее можно будет посетить бесплатно всем желающим.
Купить билет можно на сайте PHDays 🎫
Кстати, для команд кибербитвы Standoff 13 посещение закрытой части тоже бесплатно. Успейте собрать команду и подать заявку на участие начиная с 20 марта на сайте .
Встретимся с 23 по 26 мая в московских «Лужниках»!
• Вы можете самостоятельно выбрать цену для покупки билета в закрытую зону PHDays. Все деньги от продаж будут направлены в благотворительный фонд «Подари жизнь».
• Минимальная сумма — 1000 рублей. Количество билетов ограничено.
• Будет и открытая часть киберфестиваля — ее можно будет посетить бесплатно всем желающим.
Купить билет можно на сайте PHDays 🎫
Встретимся с 23 по 26 мая в московских «Лужниках»!