🔐 Дневник хакера | Пентест крупного социального проекта
Сегодня тестировал крупный социальный проект (NDA). Laravel, CDN, 10+ поддоменов. Потратил 4 часа — нашёл 3 уязвимости.
🎯 Находки:
1️⃣ Небезопасные cookies (MEDIUM | CVSS 6.5)
Session cookies без флагов HTTPOnly и Secure на нескольких поддоменах. Проверил через curl и DevTools —
2️⃣ Self-signed SSL (MEDIUM | CVSS 5.3)
Сертификат с CN=localhost на production. Пользователи видят “Ваше соединение не защищено” и привыкают игнорировать warnings. При реальной MITM-атаке они даже не заметят подмену. Проблема недооценена.
3️⃣ Deprecated TLS 1.0/1.1 (LOW | CVSS 4.0)
5 хостов всё ещё поддерживают TLS из 1999 года. RFC 8996 deprecated их в 2020, есть уязвимости BEAST/POODLE, нарушает PCI DSS. В 2025 это недопустимо.
🔨 Что ещё тестил:
• SQLi (sqlmap) → защищено ✅
• XSS → фильтруется ✅
• Laravel endpoints (.env, telescope) → закрыты ✅
• IDOR → 404/denied ✅
• File upload → требует auth (завтра копну)
📊 Итог:
✅ 3 репорта готовы к отправке на bug bounty платформу
✅ Инфраструктура защищена хорошо, но базовые вещи (SSL, cookies, TLS) подкачали
✅ Завтра тестирую authenticated функционал
🔧 Tools:
subfinder, nuclei, curl, openssl, sqlmap, DevTools
💭 Вывод:
Даже на защищённых проектах инфраструктурные проблемы остаются. Security ≠ только secure code. Это весь стек: от TLS до cookies.
P.S. Разработчики, не забывайте про базу:
Валидные SSL от Let’s Encrypt
Отключение TLS 1.0/1.1
Три простых действия → 90% инфраструктурных рисков закрыты 🔒
#bugbounty #websecurity #pentesting #ethicalhacking
Сегодня тестировал крупный социальный проект (NDA). Laravel, CDN, 10+ поддоменов. Потратил 4 часа — нашёл 3 уязвимости.
🎯 Находки:
1️⃣ Небезопасные cookies (MEDIUM | CVSS 6.5)
Session cookies без флагов HTTPOnly и Secure на нескольких поддоменах. Проверил через curl и DevTools —
document.cookie выдаёт всё. Любой XSS = кража сессии = взлом аккаунта. Классика! 🍪2️⃣ Self-signed SSL (MEDIUM | CVSS 5.3)
Сертификат с CN=localhost на production. Пользователи видят “Ваше соединение не защищено” и привыкают игнорировать warnings. При реальной MITM-атаке они даже не заметят подмену. Проблема недооценена.
3️⃣ Deprecated TLS 1.0/1.1 (LOW | CVSS 4.0)
5 хостов всё ещё поддерживают TLS из 1999 года. RFC 8996 deprecated их в 2020, есть уязвимости BEAST/POODLE, нарушает PCI DSS. В 2025 это недопустимо.
🔨 Что ещё тестил:
• SQLi (sqlmap) → защищено ✅
• XSS → фильтруется ✅
• Laravel endpoints (.env, telescope) → закрыты ✅
• IDOR → 404/denied ✅
• File upload → требует auth (завтра копну)
📊 Итог:
✅ 3 репорта готовы к отправке на bug bounty платформу
✅ Инфраструктура защищена хорошо, но базовые вещи (SSL, cookies, TLS) подкачали
✅ Завтра тестирую authenticated функционал
🔧 Tools:
subfinder, nuclei, curl, openssl, sqlmap, DevTools
💭 Вывод:
Даже на защищённых проектах инфраструктурные проблемы остаются. Security ≠ только secure code. Это весь стек: от TLS до cookies.
P.S. Разработчики, не забывайте про базу:
Secure; HTTPOnly; SameSite=Lax для cookiesВалидные SSL от Let’s Encrypt
Отключение TLS 1.0/1.1
Три простых действия → 90% инфраструктурных рисков закрыты 🔒
#bugbounty #websecurity #pentesting #ethicalhacking
📝Дневник хакера | 08.10.2025
Сегодня был продуктивный день в багхантинге 🔥💰
Целый день посвятил пентесту одной крупной системы (из-за NDA не могу раскрывать детали — кто понял, тот понял 😏). Скажу только, что цель была серьёзная, а поверхность атаки — огромная.
Что делал:
Reconnaissance 🔍 Начал с классики — nmap, subfinder, проверка robots.txt и sitemap. Собрал инфу о технологиях, нашёл несколько интересных API endpoints. Админы молодцы, инфраструктуру прикрыли неплохо.
Information Disclosure ⚙ Пытался найти .env, .git, backup-файлы — все стандартные векторы. Результат: всё закрыто. Directory listing отключен, конфиги спрятаны. Зато проверил Bitrix CMS — искал SQL Injection, XSS, но защита на высоте 👍
API Testing 💻 Перешёл на тестирование API. Тут было интереснее! Нашёл пару багов:
1⃣ Missing Authentication на критичном API endpoint (MEDIUM severity, CVSS 5.3) — детали по NDA, но суть в том, что доступ к чувствительным данным был без авторизации. Написал подробный PoC, отправил репорт. Потенциальная выплата: 50,000 - 150,000 ₽ 💵
2⃣ Missing Security Headers на главном домене (LOW-MEDIUM severity, CVSS 4.3) — отсутствуют все критичные HTTP-заголовки (X-Frame-Options, CSP, HSTS и т.д.). Это открывает дверь для Clickjacking, MIME-sniffing и других атак на клиентскую сторону. Потенциальная выплата: 30,000 - 100,000 ₽ 💸
Итого за день потенциально: 80,000 - 250,000 ₽! 🤑🎯
Результат дня 📊
✅ 2 уязвимости найдено и отправлено
✅ Несколько векторов закрыто (хорошо пропатчено)
✅ Составил план на завтра — буду копать глубже в поддомены
Что понял:
Даже если с первого взгляда всё выглядит защищённым, всегда есть места, где можно найти лазейку. Главное — методичность и терпение. А ещё curl и grep — мои лучшие друзья 💪😎
P.S.
Завтра продолжу — планирую Certificate Transparency для поиска скрытых поддоменов и тесты на CORS misconfiguration. Если найду что-то интересное — обязательно расскажу (насколько позволит NDA 🤫).
Bug hunting — это не про везение, это про упорство! И да, иногда это ещё и про хорошие выплаты 😉💰
#bugbounty #cybersecurity #pentesting #hacking #infosec #redteam #bugbountyhunter #дневникхакера #bugbountytips
Сегодня был продуктивный день в багхантинге 🔥💰
Целый день посвятил пентесту одной крупной системы (из-за NDA не могу раскрывать детали — кто понял, тот понял 😏). Скажу только, что цель была серьёзная, а поверхность атаки — огромная.
Что делал:
Reconnaissance 🔍 Начал с классики — nmap, subfinder, проверка robots.txt и sitemap. Собрал инфу о технологиях, нашёл несколько интересных API endpoints. Админы молодцы, инфраструктуру прикрыли неплохо.
Information Disclosure ⚙ Пытался найти .env, .git, backup-файлы — все стандартные векторы. Результат: всё закрыто. Directory listing отключен, конфиги спрятаны. Зато проверил Bitrix CMS — искал SQL Injection, XSS, но защита на высоте 👍
API Testing 💻 Перешёл на тестирование API. Тут было интереснее! Нашёл пару багов:
1⃣ Missing Authentication на критичном API endpoint (MEDIUM severity, CVSS 5.3) — детали по NDA, но суть в том, что доступ к чувствительным данным был без авторизации. Написал подробный PoC, отправил репорт. Потенциальная выплата: 50,000 - 150,000 ₽ 💵
2⃣ Missing Security Headers на главном домене (LOW-MEDIUM severity, CVSS 4.3) — отсутствуют все критичные HTTP-заголовки (X-Frame-Options, CSP, HSTS и т.д.). Это открывает дверь для Clickjacking, MIME-sniffing и других атак на клиентскую сторону. Потенциальная выплата: 30,000 - 100,000 ₽ 💸
Итого за день потенциально: 80,000 - 250,000 ₽! 🤑🎯
Результат дня 📊
✅ 2 уязвимости найдено и отправлено
✅ Несколько векторов закрыто (хорошо пропатчено)
✅ Составил план на завтра — буду копать глубже в поддомены
Что понял:
Даже если с первого взгляда всё выглядит защищённым, всегда есть места, где можно найти лазейку. Главное — методичность и терпение. А ещё curl и grep — мои лучшие друзья 💪😎
P.S.
Завтра продолжу — планирую Certificate Transparency для поиска скрытых поддоменов и тесты на CORS misconfiguration. Если найду что-то интересное — обязательно расскажу (насколько позволит NDA 🤫).
Bug hunting — это не про везение, это про упорство! И да, иногда это ещё и про хорошие выплаты 😉💰
#bugbounty #cybersecurity #pentesting #hacking #infosec #redteam #bugbountyhunter #дневникхакера #bugbountytips
🔐 Дневник Хакера | 10.10.2025
Сегодняшний день был продуктивным — провёл углублённое тестирование на защищённость в рамках bug bounty программы.
🎯 Цель: Федеральная система (детали под NDA)
⏱ Время: 6 часов чистой работы
🔧 Инструменты: ffuf, curl, Burp Suite, custom scripts
📈 Процесс:
1️⃣ Разведка: сканирование субдоменов, endpoints, технологий
2️⃣ Анализ: изучение архитектуры, поиск точек входа
3️⃣ Тестирование: проверка различных векторов атак
4️⃣ Эксплуатация: подтверждение найденных уязвимостей
5️⃣ Документирование: написание профессионального отчёта
🎯 Статистика:
• HTTP-запросов: 1,000+
• Endpoints протестировано: 50+
• Данных собрано: 40 MB
• Файлов создано: 91
• Уязвимостей найдено: 3 (1 Critical, 2 Medium)
💡 Что было интересного:
Нашёл нестандартный способ обхода защиты, который позволил получить доступ к защищённым ресурсам. Классический пример того, как whitelist'ы без должной валидации могут стать уязвимостью.
📝 Отправил отчёт в Standoff365, жду триажа.
💰 Потенциальная выплата: до 150,000₽
Детали опубликую после разрешения программы и исправления уязвимости владельцем.
Совет дня: Всегда проверяйте не только "что блокируется", но и "что пропускается". Иногда whitelist опаснее blacklist'а.
#bugbounty #pentesting #cybersecurity #ethical_hacking #infosec #web_security #ДневникХакера
Сегодняшний день был продуктивным — провёл углублённое тестирование на защищённость в рамках bug bounty программы.
🎯 Цель: Федеральная система (детали под NDA)
⏱ Время: 6 часов чистой работы
🔧 Инструменты: ffuf, curl, Burp Suite, custom scripts
📈 Процесс:
1️⃣ Разведка: сканирование субдоменов, endpoints, технологий
2️⃣ Анализ: изучение архитектуры, поиск точек входа
3️⃣ Тестирование: проверка различных векторов атак
4️⃣ Эксплуатация: подтверждение найденных уязвимостей
5️⃣ Документирование: написание профессионального отчёта
🎯 Статистика:
• HTTP-запросов: 1,000+
• Endpoints протестировано: 50+
• Данных собрано: 40 MB
• Файлов создано: 91
• Уязвимостей найдено: 3 (1 Critical, 2 Medium)
💡 Что было интересного:
Нашёл нестандартный способ обхода защиты, который позволил получить доступ к защищённым ресурсам. Классический пример того, как whitelist'ы без должной валидации могут стать уязвимостью.
📝 Отправил отчёт в Standoff365, жду триажа.
💰 Потенциальная выплата: до 150,000₽
Детали опубликую после разрешения программы и исправления уязвимости владельцем.
Совет дня: Всегда проверяйте не только "что блокируется", но и "что пропускается". Иногда whitelist опаснее blacklist'а.
#bugbounty #pentesting #cybersecurity #ethical_hacking #infosec #web_security #ДневникХакера
🔥 Дневник Хакера | День 1: Новая Bug Bounty программа
13 октября 2025
Сегодня приступил к новой Bug Bounty программе — gambling платформа (NDA, название не раскрываю). Выплаты от $100 до $5000 в USDT за найденные уязвимости. Звучит как хороший способ провести неделю, правда? 😎
Разведка (Reconnaissance Phase)
Начал классически — с пассивной разведки. Запустил subfinder и amass для поиска субдоменов. Результат немного разочаровал — минимальная инфраструктура видна извне. Но это нормально, многие компании держат attack surface минималистичной.
Первая проблема: DNS resolver на VM лёг. Пришлось фиксить
Вторая проблема: Гео-блокировка. Таргет просто не отвечал из моей локации. Connection timeout при попытке curl. Решение — смена IP через VPN. После этого всё заработало. Интересный момент — значит у них есть compliance требования по регионам.
Первые находки
🎯 Tech Stack:
• Cloudflare WAF (ASN 13335) — ожидаемо для gambling индустрии
• Nginx — версия раскрыта в 404 ошибке (уже потенциальная информационная утечка)
• Vue.js/Vite SPA на фронте
• Интеграции: мессенджер, live chat, аналитика, метрики
🔍 Wayback Machine:
Собрал исторические URL через
/referal-login/{код}/
/bonus_{название}/
Быстрый тест показал, что referral endpoint принимает ЛЮБОЙ payload с HTTP 200:
/referal-login/TESTPAYLOAD/ → 200 OK
/referal-login/../admin/ → 200 OK
/referal-login/test'OR'1'='1/ → 200 OK
Нет валидации входных данных = потенциальный XSS, SQLi или Path Traversal. Пока reflection в HTML не подтвердил, но вектор перспективный для углублённого тестирования.
💣 JavaScript Analysis:
Скачал основные JS файлы (4MB каждый — вот это bundle!). Через grep нашёл 10+ API endpoints:
Критичные векторы:
•
•
•
•
Интеграция с мессенджером: обнаружен бот с параметрами в URL — ещё один вектор для исследования на injection атаки.
📌 Найденные токены в клиентском коде:
• Live chat токен
• Analytics site ID
• Tracking IDs
Проверю завтра, можно ли через них получить доступ к чатам, пользовательским данным или аналитике.
План на завтра
Завтра буду тестировать:
1. Auth Bypass — попробую манипулировать параметрами аутентификации через сторонний сервис
2. Bonus Abuse — race condition на создании бонусов
3. IDOR — изменение идентификаторов пользователей в API
4. OAuth CSRF — проверка OAuth flow на отсутствие
5. Referral injection — углублённое тестирование на XSS/SQLi/Path Traversal
Статистика дня
⏱ Времени потрачено: ~2 часа
🔍 Инструменты: subfinder, amass, waybackurls, curl, grep
📂 Собрано данных: 10+ API endpoints, 50+ исторических URL
🎯 Потенциальных векторов: 5 high-priority
Мысли вслух
Gambling платформы — всегда интересная цель. Там где деньги, там всегда найдутся баги в бизнес-логике. Особенно интересует интеграция со сторонними сервисами авторизации — видел много кейсов, где подпись либо не проверялась вообще, либо проверялась криво.
Referral system тоже выглядит подозрительно. Полное отсутствие валидации input’а — это красный флаг размером с Китай. Завтра покопаю глубже с Burp Suite.
Пока что чувствую, что здесь есть минимум 1-2 бага на $750+. Auth bypass через сторонний сервис может потянуть на Critical ($1500-5000), если повезёт с PoC.
Технические детали для себя:
• Гео-блок обходится через VPN (region: EU)
• WAF Cloudflare — нужно готовить обфускацию payload’ов
• SPA архитектура — все endpoints в JS, DevTools обязателен
• Минимальная инфраструктура извне → копать вглубь, а не вширь
Продолжение следует…
💻 Stay tuned for Day 2!
#BugBounty #InfoSec #RedTeam #Pentesting #CyberSecurity #ДневникХакера #Recon
13 октября 2025
Сегодня приступил к новой Bug Bounty программе — gambling платформа (NDA, название не раскрываю). Выплаты от $100 до $5000 в USDT за найденные уязвимости. Звучит как хороший способ провести неделю, правда? 😎
Разведка (Reconnaissance Phase)
Начал классически — с пассивной разведки. Запустил subfinder и amass для поиска субдоменов. Результат немного разочаровал — минимальная инфраструктура видна извне. Но это нормально, многие компании держат attack surface минималистичной.
Первая проблема: DNS resolver на VM лёг. Пришлось фиксить
/etc/resolv.conf и прописывать Google DNS (8.8.8.8). Классика жанра 😅Вторая проблема: Гео-блокировка. Таргет просто не отвечал из моей локации. Connection timeout при попытке curl. Решение — смена IP через VPN. После этого всё заработало. Интересный момент — значит у них есть compliance требования по регионам.
Первые находки
🎯 Tech Stack:
• Cloudflare WAF (ASN 13335) — ожидаемо для gambling индустрии
• Nginx — версия раскрыта в 404 ошибке (уже потенциальная информационная утечка)
• Vue.js/Vite SPA на фронте
• Интеграции: мессенджер, live chat, аналитика, метрики
🔍 Wayback Machine:
Собрал исторические URL через
waybackurls. Нашёл интересные паттерны:/referal-login/{код}/
/bonus_{название}/
Быстрый тест показал, что referral endpoint принимает ЛЮБОЙ payload с HTTP 200:
/referal-login/TESTPAYLOAD/ → 200 OK
/referal-login/../admin/ → 200 OK
/referal-login/test'OR'1'='1/ → 200 OK
Нет валидации входных данных = потенциальный XSS, SQLi или Path Traversal. Пока reflection в HTML не подтвердил, но вектор перспективный для углублённого тестирования.
💣 JavaScript Analysis:
Скачал основные JS файлы (4MB каждый — вот это bundle!). Через grep нашёл 10+ API endpoints:
Критичные векторы:
•
/users/get_me/ — потенциальный IDOR на получение данных пользователей•
/users/login_{service}/ — авторизация через сторонний сервис (высокий риск auth bypass!)•
/bonus_events/create_*_bonuses/ — создание бонусов (business logic bug?)•
/api/social/login/{provider}/ — OAuth всегда интересен для CSRF/redirect атакИнтеграция с мессенджером: обнаружен бот с параметрами в URL — ещё один вектор для исследования на injection атаки.
📌 Найденные токены в клиентском коде:
• Live chat токен
• Analytics site ID
• Tracking IDs
Проверю завтра, можно ли через них получить доступ к чатам, пользовательским данным или аналитике.
План на завтра
Завтра буду тестировать:
1. Auth Bypass — попробую манипулировать параметрами аутентификации через сторонний сервис
2. Bonus Abuse — race condition на создании бонусов
3. IDOR — изменение идентификаторов пользователей в API
4. OAuth CSRF — проверка OAuth flow на отсутствие
state параметра5. Referral injection — углублённое тестирование на XSS/SQLi/Path Traversal
Статистика дня
⏱ Времени потрачено: ~2 часа
🔍 Инструменты: subfinder, amass, waybackurls, curl, grep
📂 Собрано данных: 10+ API endpoints, 50+ исторических URL
🎯 Потенциальных векторов: 5 high-priority
Мысли вслух
Gambling платформы — всегда интересная цель. Там где деньги, там всегда найдутся баги в бизнес-логике. Особенно интересует интеграция со сторонними сервисами авторизации — видел много кейсов, где подпись либо не проверялась вообще, либо проверялась криво.
Referral system тоже выглядит подозрительно. Полное отсутствие валидации input’а — это красный флаг размером с Китай. Завтра покопаю глубже с Burp Suite.
Пока что чувствую, что здесь есть минимум 1-2 бага на $750+. Auth bypass через сторонний сервис может потянуть на Critical ($1500-5000), если повезёт с PoC.
Технические детали для себя:
• Гео-блок обходится через VPN (region: EU)
• WAF Cloudflare — нужно готовить обфускацию payload’ов
• SPA архитектура — все endpoints в JS, DevTools обязателен
• Минимальная инфраструктура извне → копать вглубь, а не вширь
Продолжение следует…
💻 Stay tuned for Day 2!
#BugBounty #InfoSec #RedTeam #Pentesting #CyberSecurity #ДневникХакера #Recon
🔥 ДНЕВНИК ХАКЕРА | День 1: Изучаю AI/ML баунти 💰
Сегодня начал смотреть в сторону баунти-программ на AI и ML системы. Тема интересная — нейросети имеют свою специфику в плане безопасности, отличается от классического веб-пентеста 🤖
🎯 Что делал:
Изучил программу одного из крупных вендоров — выплаты до миллиона за критичные находки. В скоупе вся ML-инфраструктура: языковые модели, генеративные сети, чат-боты.
Разобрался с методологией тестирования AI/ML систем:
• OWASP Top 10 for LLM
• Специфика prompt injection
• Adversarial attacks на модели
• Отличия от классических веб-уязвимостей
Потратил время на initial recon — мапил attack surface, анализировал клиентскую часть, смотрел на доступные функции и интеграции.
📚 Инсайты:
Тестирование AI-систем сильно отличается от обычного веб-пентеста. Модели могут “имитировать” выполнение команд или раскрытие данных (галлюцинации), но это не значит реальную уязвимость. Нужна чёткая верификация через технические средства.
Важно понимать правила программы — у многих баунти есть строгие ограничения на disclosure и тестирование production-систем.
🔥 Планы:
Продолжу исследование завтра. Буду тестировать разные векторы с упором на специфику ML-моделей. Тема перспективная, много unexplored territory 🎯
Stay focused! 💻
#bugbounty #security #ai #machinelearning #pentesting #хакердневник
Сегодня начал смотреть в сторону баунти-программ на AI и ML системы. Тема интересная — нейросети имеют свою специфику в плане безопасности, отличается от классического веб-пентеста 🤖
🎯 Что делал:
Изучил программу одного из крупных вендоров — выплаты до миллиона за критичные находки. В скоупе вся ML-инфраструктура: языковые модели, генеративные сети, чат-боты.
Разобрался с методологией тестирования AI/ML систем:
• OWASP Top 10 for LLM
• Специфика prompt injection
• Adversarial attacks на модели
• Отличия от классических веб-уязвимостей
Потратил время на initial recon — мапил attack surface, анализировал клиентскую часть, смотрел на доступные функции и интеграции.
📚 Инсайты:
Тестирование AI-систем сильно отличается от обычного веб-пентеста. Модели могут “имитировать” выполнение команд или раскрытие данных (галлюцинации), но это не значит реальную уязвимость. Нужна чёткая верификация через технические средства.
Важно понимать правила программы — у многих баунти есть строгие ограничения на disclosure и тестирование production-систем.
🔥 Планы:
Продолжу исследование завтра. Буду тестировать разные векторы с упором на специфику ML-моделей. Тема перспективная, много unexplored territory 🎯
Stay focused! 💻
#bugbounty #security #ai #machinelearning #pentesting #хакердневник
🔥 Дневник хакера: Автосканеры — это ловушка
23.10.2025
Написал свой сканер уязвимостей на Python. Запустил на таргете из BB программы 🎯
Результат сканера:
✅ 15 уязвимостей
✅ 8x CRITICAL (CVSS 9.1)
✅ Потенциал: $5000-15000
Я уже праздновал… пока не проверил вручную 😅
curl -s https://target/.env | head -3
# <!doctype html>
# <html lang="ru">
Реальность: ВСЕ “уязвимости” = одна HTML страница! 🤦♂️
Сайт на Vue.js/Vite возвращает 200 OK для любого пути (SPA routing). Мой сканер проверял только status код, без анализа контента.
Итого: 15 “критичных” находок → 0 реальных багов → $0
Уроки 📚
❌ HTTP 200 ≠ уязвимость
❌ Автосканеры без validation = мусор
✅ Content-Type + hash проверка обязательны
✅ В BB платят за качество, не за количество
Что реально работает 💪
Ручной анализ JS (1.3MB) → нашёл 10 API endpoints:
•
•
•
•
Прогноз: $2000-12000 если найду 2-3 бага завтра через Burp
Вывод
Автосканеры — это 10% работы
Реальные баги — это 90% мозгов + Burp Suite
Завтра иду в ручную атаку 🎯
#BugBounty #InfoSec #RedTeam #Pentesting
23.10.2025
Написал свой сканер уязвимостей на Python. Запустил на таргете из BB программы 🎯
Результат сканера:
✅ 15 уязвимостей
✅ 8x CRITICAL (CVSS 9.1)
✅ Потенциал: $5000-15000
Я уже праздновал… пока не проверил вручную 😅
curl -s https://target/.env | head -3
# <!doctype html>
# <html lang="ru">
Реальность: ВСЕ “уязвимости” = одна HTML страница! 🤦♂️
Сайт на Vue.js/Vite возвращает 200 OK для любого пути (SPA routing). Мой сканер проверял только status код, без анализа контента.
Итого: 15 “критичных” находок → 0 реальных багов → $0
Уроки 📚
❌ HTTP 200 ≠ уязвимость
❌ Автосканеры без validation = мусор
✅ Content-Type + hash проверка обязательны
✅ В BB платят за качество, не за количество
Что реально работает 💪
Ручной анализ JS (1.3MB) → нашёл 10 API endpoints:
•
/users/login_tg_user/ 🔥 Auth bypass вектор•
/bonus_events/create_subscribe_bonuses/ 💰 Race condition•
/users/get_me/ 👤 IDOR potential•
/api/social/login/google-oauth2/ 🔐 OAuth CSRFПрогноз: $2000-12000 если найду 2-3 бага завтра через Burp
Вывод
Автосканеры — это 10% работы
Реальные баги — это 90% мозгов + Burp Suite
Завтра иду в ручную атаку 🎯
#BugBounty #InfoSec #RedTeam #Pentesting
🔥 Дневник Хакера | Первый Bug Bounty репорт в новой программе
24.10.2025
Что тестировал 🎯
❌ IDOR на User endpoints → SPA routing блокирует, защита работает
❌ Self-referral attack → Защита есть, ref_balance не изменился
✅ Email Verification Bypass → Нашёл уязвимость! 🔍
Суть находки 💡
После регистрации система отправляет email подтверждения, но НЕ требует его для доступа к функционалу.
Response:
{
"activated": false, // Email не подтверждён
"demo_balance": "3000.00", // Но средства доступны
"is_partner": true // Статус активен
}
+ sessionid cookie // Сессия выдана
Impact 💣
1. Email Bombing:
Регистрация 1000+ аккаунтов с email жертвы → спам-флуд
2. Identity Bypass:
Можно использовать ЛЮБОЙ email без подтверждения владения
3. Mass Fake Accounts:
Неограниченные фейковые аккаунты для манипуляций
4. Compliance Issues:
Нарушение KYC/AML для gambling платформ
Классификация 📊
CWE-287: Improper Authentication
CVSS: 5.0 (Medium)
Severity: Средний
Expected bounty: $300-750 USDT 💰
Почему это НЕ “best practice”? 🤔
Программа исключает:
“Отсутствие 2FA/email при изменении данных в активной сессии”
Моя находка:
✅ Про ОТСУТСТВИЕ верификации при регистрации
✅ 5 конкретных attack scenarios
✅ Доказанное влияние на безопасность
✅ Подходит под скоуп программы!
Статистика 📈
⏱ Времени: ~5 часов
🔍 Векторов протестировано: 8
✅ Найдено уязвимостей: 1 (Medium)
📝 Репортов отправлено: 1
💰 Потенциал: $300-750 USDT
Главный урок дня 📚
1 качественный репорт с детальным impact analysis
10 слабых находок без доказательств
В Bug Bounty платят за качество, а не за количество! 🎯
Что в репорте 📋
✅ Детальное описание уязвимости
✅ 5 attack scenarios с примерами
✅ Impact assessment
✅ PoC с screenshots из Burp
✅ HTTP Request/Response
✅ Рекомендации по исправлению
✅ Ссылки на стандарты (OWASP, CWE, NIST)
Выводы 💭
Что работает:
✅ Ручное тестирование > автоматизация
✅ Понимание контекста и impact
✅ Профессиональная документация
Что не сработало:
❌ IDOR на очевидных путях
❌ Базовые self-referral атаки
Next Steps 🚀
Ожидание ответа: до 5 рабочих дней
Шанс приёмки: ~60-70%
Продолжение следует… 💪
#BugBounty #InfoSec #Pentesting #CWE287 #ResponsibleDisclosure
24.10.2025
Что тестировал 🎯
❌ IDOR на User endpoints → SPA routing блокирует, защита работает
❌ Self-referral attack → Защита есть, ref_balance не изменился
✅ Email Verification Bypass → Нашёл уязвимость! 🔍
Суть находки 💡
После регистрации система отправляет email подтверждения, но НЕ требует его для доступа к функционалу.
Response:
{
"activated": false, // Email не подтверждён
"demo_balance": "3000.00", // Но средства доступны
"is_partner": true // Статус активен
}
+ sessionid cookie // Сессия выдана
Impact 💣
1. Email Bombing:
Регистрация 1000+ аккаунтов с email жертвы → спам-флуд
2. Identity Bypass:
Можно использовать ЛЮБОЙ email без подтверждения владения
3. Mass Fake Accounts:
Неограниченные фейковые аккаунты для манипуляций
4. Compliance Issues:
Нарушение KYC/AML для gambling платформ
Классификация 📊
CWE-287: Improper Authentication
CVSS: 5.0 (Medium)
Severity: Средний
Expected bounty: $300-750 USDT 💰
Почему это НЕ “best practice”? 🤔
Программа исключает:
“Отсутствие 2FA/email при изменении данных в активной сессии”
Моя находка:
✅ Про ОТСУТСТВИЕ верификации при регистрации
✅ 5 конкретных attack scenarios
✅ Доказанное влияние на безопасность
✅ Подходит под скоуп программы!
Статистика 📈
⏱ Времени: ~5 часов
🔍 Векторов протестировано: 8
✅ Найдено уязвимостей: 1 (Medium)
📝 Репортов отправлено: 1
💰 Потенциал: $300-750 USDT
Главный урок дня 📚
1 качественный репорт с детальным impact analysis
10 слабых находок без доказательств
В Bug Bounty платят за качество, а не за количество! 🎯
Что в репорте 📋
✅ Детальное описание уязвимости
✅ 5 attack scenarios с примерами
✅ Impact assessment
✅ PoC с screenshots из Burp
✅ HTTP Request/Response
✅ Рекомендации по исправлению
✅ Ссылки на стандарты (OWASP, CWE, NIST)
Выводы 💭
Что работает:
✅ Ручное тестирование > автоматизация
✅ Понимание контекста и impact
✅ Профессиональная документация
Что не сработало:
❌ IDOR на очевидных путях
❌ Базовые self-referral атаки
Next Steps 🚀
Ожидание ответа: до 5 рабочих дней
Шанс приёмки: ~60-70%
Продолжение следует… 💪
#BugBounty #InfoSec #Pentesting #CWE287 #ResponsibleDisclosure