zhub.link is one of the many independent Mastodon servers you can use to participate in the fediverse.

Administered by:

Server stats:

28
active users

#багбаунти

0 posts0 participants0 posts today
Habr 25+<p>[Перевод] Как мы взломали цепочку поставок и получили 50 тысяч долларов</p><p>В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой исследователи безопасности находят уязвимости и сообщают о них, получая за это вознаграждение. Однако я ещё не достиг уровня, позволившего бы мне быстро обнаруживать критические уязвимости цели. Этот уровень умений казался мне недостижимым. Но всё поменялось, когда я познакомился с человеком, ставшим ключевой фигурой в моей карьере баг-баунти: Snorlhax . Поначалу я видел в нём конкурента. Он был намного выше меня во французской таблице лидеров HackerOne , что стимулировало меня расти над собой. Мы начали общаться в Discord, и спустя несколько недель я рассказал ему о многообещающей программе баг-баунти. Вскоре после этого он обнаружил у этой цели критическую уязвимость, оценённую в 10000 долларов — сумму вдвое больше, чем максимальная полученная мной от этой же цели. Мотивировавшись этим, я вернулся к этой же цели и за ту же неделю нашёл собственную критическую уязвимость за 10000 долларов в другом классе багов. Вместо того, чтобы продолжать состязаться, мы решили сотрудничать. Теперь нашей задачей стало выявление у этой цели всех возможных классов багов: IDOR, SQL-инъекций, XSS, багов OAuth, Dependency Confusion, SSRF, RCE и так далее. Все их мы нашли, сообщили компании и написали отчёты. Это сотрудничество длилось несколько лет, и даже сегодня мы время от времени снова возвращаемся к этой цели. Однако недостижимой оставалась одна задача: обнаружение «чудовищной уязвимости». Это должен быть настолько критичный баг, что нам выплатят нестандартное вознаграждение, намного превышающее обычные выплаты. Это стало для нас главной целью. В посте я расскажу, как мы со Snorlhax наконец-то этого добились.</p><p><a href="https://habr.com/ru/companies/ruvds/articles/885950/?utm_campaign=885950" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/ruvds/ar</span><span class="invisible">ticles/885950/?utm_campaign=885950</span></a></p><p><a href="https://zhub.link/tags/docker" class="mention hashtag" rel="tag">#<span>docker</span></a> <a href="https://zhub.link/tags/npm" class="mention hashtag" rel="tag">#<span>npm</span></a> <a href="https://zhub.link/tags/%D0%B0%D1%82%D0%B0%D0%BA%D0%B0_%D0%BD%D0%B0_%D1%86%D0%B5%D0%BF%D0%BE%D1%87%D0%BA%D1%83_%D0%BF%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BE%D0%BA" class="mention hashtag" rel="tag">#<span>атака_на_цепочку_поставок</span></a> <a href="https://zhub.link/tags/%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>уязвимости</span></a> <a href="https://zhub.link/tags/bug_bounty" class="mention hashtag" rel="tag">#<span>bug_bounty</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/ruvds_%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4" class="mention hashtag" rel="tag">#<span>ruvds_перевод</span></a></p>
Habr<p>[Перевод] Как мы взломали цепочку поставок и получили 50 тысяч долларов</p><p>В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой исследователи безопасности находят уязвимости и сообщают о них, получая за это вознаграждение. Однако я ещё не достиг уровня, позволившего бы мне быстро обнаруживать критические уязвимости цели. Этот уровень умений казался мне недостижимым. Но всё поменялось, когда я познакомился с человеком, ставшим ключевой фигурой в моей карьере баг-баунти: Snorlhax . Поначалу я видел в нём конкурента. Он был намного выше меня во французской таблице лидеров HackerOne , что стимулировало меня расти над собой. Мы начали общаться в Discord, и спустя несколько недель я рассказал ему о многообещающей программе баг-баунти. Вскоре после этого он обнаружил у этой цели критическую уязвимость, оценённую в 10000 долларов — сумму вдвое больше, чем максимальная полученная мной от этой же цели. Мотивировавшись этим, я вернулся к этой же цели и за ту же неделю нашёл собственную критическую уязвимость за 10000 долларов в другом классе багов. Вместо того, чтобы продолжать состязаться, мы решили сотрудничать. Теперь нашей задачей стало выявление у этой цели всех возможных классов багов: IDOR, SQL-инъекций, XSS, багов OAuth, Dependency Confusion, SSRF, RCE и так далее. Все их мы нашли, сообщили компании и написали отчёты. Это сотрудничество длилось несколько лет, и даже сегодня мы время от времени снова возвращаемся к этой цели. Однако недостижимой оставалась одна задача: обнаружение «чудовищной уязвимости». Это должен быть настолько критичный баг, что нам выплатят нестандартное вознаграждение, намного превышающее обычные выплаты. Это стало для нас главной целью. В посте я расскажу, как мы со Snorlhax наконец-то этого добились.</p><p><a href="https://habr.com/ru/companies/ruvds/articles/885950/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/ruvds/ar</span><span class="invisible">ticles/885950/</span></a></p><p><a href="https://zhub.link/tags/docker" class="mention hashtag" rel="tag">#<span>docker</span></a> <a href="https://zhub.link/tags/npm" class="mention hashtag" rel="tag">#<span>npm</span></a> <a href="https://zhub.link/tags/%D0%B0%D1%82%D0%B0%D0%BA%D0%B0_%D0%BD%D0%B0_%D1%86%D0%B5%D0%BF%D0%BE%D1%87%D0%BA%D1%83_%D0%BF%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BE%D0%BA" class="mention hashtag" rel="tag">#<span>атака_на_цепочку_поставок</span></a> <a href="https://zhub.link/tags/%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>уязвимости</span></a> <a href="https://zhub.link/tags/bug_bounty" class="mention hashtag" rel="tag">#<span>bug_bounty</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/ruvds_%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4" class="mention hashtag" rel="tag">#<span>ruvds_перевод</span></a></p>
Habr<p>В погоне за багами: на кого охотились и как зарабатывали белые хакеры</p><p>В мае 2022 года мы запустили собственную платформу для поиска уязвимостей за вознаграждение — Standoff Bug Bounty. С тех пор она стала крупнейшей российской площадкой багбаунти: более 18 тысяч независимых исследователей безопасности из России и других стран сдали на ней свыше 8 тысяч отчетов. Привлекая на помощь целый легион опытных багхантеров, платформа помогает компаниям усилить защищенность ИТ-инфраструктуры. Читайте в этой статье о результатах 2,5 лет работы Standoff Bug Bounty. Объясним, почему багбаунти-платформа повышает киберустойчивость компаний, какие баги чаще всего находят специалисты ИБ, как они зарабатывают и какие выплаты получают. Расскажем также о максимальных наградах и уникальных программах на платформе.</p><p><a href="https://habr.com/ru/companies/pt/articles/879522/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/pt/artic</span><span class="invisible">les/879522/</span></a></p><p><a href="https://zhub.link/tags/standoff_365" class="mention hashtag" rel="tag">#<span>standoff_365</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B5%D0%BB%D1%8B%D0%B5_%D1%85%D0%B0%D0%BA%D0%B5%D1%80%D1%8B" class="mention hashtag" rel="tag">#<span>белые_хакеры</span></a> <a href="https://zhub.link/tags/%D0%B2%D0%BE%D0%B7%D0%BD%D0%B0%D0%B3%D1%80%D0%B0%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5" class="mention hashtag" rel="tag">#<span>вознаграждение</span></a> <a href="https://zhub.link/tags/%D0%BC%D0%B8%D0%BD%D1%86%D0%B8%D1%84%D1%80%D1%8B" class="mention hashtag" rel="tag">#<span>минцифры</span></a> <a href="https://zhub.link/tags/rambler" class="mention hashtag" rel="tag">#<span>rambler</span></a> <a href="https://zhub.link/tags/vk" class="mention hashtag" rel="tag">#<span>vk</span></a> <a href="https://zhub.link/tags/ozon" class="mention hashtag" rel="tag">#<span>ozon</span></a> <a href="https://zhub.link/tags/wildberries" class="mention hashtag" rel="tag">#<span>wildberries</span></a> <a href="https://zhub.link/tags/%D1%8D%D0%BA%D1%81%D0%BF%D0%BB%D1%83%D0%B0%D1%82%D0%B0%D1%86%D0%B8%D1%8F_%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B5%D0%B9" class="mention hashtag" rel="tag">#<span>эксплуатация_уязвимостей</span></a></p>
Habr<p>Начинаем в багбаунти: распродажа уязвимостей в Juice Shop, или Как искать простейшие баги в веб-приложениях</p><p>Привет, меня зовут Анна Куренова ( @SavAnna ), в IT я уже девять лет. Начинала как разработчик и тестировщик, потом начала искать уязвимости и перешла в ИБ. Сейчас работаю DevSecOps-инженером и веду телеграм-канал 8ug8eer . В этой статье поговорим о базовых вещах в вебе и некоторых простых уязвимостях, поиск которых под силу даже начинающим. Текст будет полезен новичкам в сфере безопасности и тестирования софта. Нашим подопытным станет магазин соков под незамысловатым названием Juice Shop. Это уже готовое приложение, которое работает на HTTP/1.1. Я развернула его на своем домене, который содержит множество уязвимостей и отлично подходит для обучения. Продолжим</p><p><a href="https://habr.com/ru/companies/pt/articles/878360/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/pt/artic</span><span class="invisible">les/878360/</span></a></p><p><a href="https://zhub.link/tags/cybersecurity" class="mention hashtag" rel="tag">#<span>cybersecurity</span></a> <a href="https://zhub.link/tags/%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8_%D0%B8_%D0%B8%D1%85_%D1%8D%D0%BA%D1%81%D0%BF%D0%BB%D1%83%D0%B0%D1%82%D0%B0%D1%86%D0%B8%D1%8F" class="mention hashtag" rel="tag">#<span>уязвимости_и_их_эксплуатация</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>багхантинг</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/juice_shop" class="mention hashtag" rel="tag">#<span>juice_shop</span></a> <a href="https://zhub.link/tags/burp_suite" class="mention hashtag" rel="tag">#<span>burp_suite</span></a> <a href="https://zhub.link/tags/stored_xss" class="mention hashtag" rel="tag">#<span>stored_xss</span></a> <a href="https://zhub.link/tags/idor" class="mention hashtag" rel="tag">#<span>idor</span></a> <a href="https://zhub.link/tags/contenttype" class="mention hashtag" rel="tag">#<span>contenttype</span></a></p>
Habr<p>Раздел OSINT (разведка): Что такое Github Dorking?</p><p>Здесь вы узнаете, как повысить свой уровень в OSINT, будут приведены примеры и готовые поисковые запросы. (Вы можете дополнить меня, если я что-то забыл в комментариях).</p><p><a href="https://habr.com/ru/articles/876738/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="">habr.com/ru/articles/876738/</span><span class="invisible"></span></a></p><p><a href="https://zhub.link/tags/bugbounty" class="mention hashtag" rel="tag">#<span>bugbounty</span></a> <a href="https://zhub.link/tags/gitdorking" class="mention hashtag" rel="tag">#<span>gitdorking</span></a> <a href="https://zhub.link/tags/osint" class="mention hashtag" rel="tag">#<span>osint</span></a> <a href="https://zhub.link/tags/hack" class="mention hashtag" rel="tag">#<span>hack</span></a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#<span>информационная_безопасность</span></a> <a href="https://zhub.link/tags/step_to_step" class="mention hashtag" rel="tag">#<span>step_to_step</span></a> <a href="https://zhub.link/tags/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC" class="mention hashtag" rel="tag">#<span>взлом</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B3%D0%B8%D1%82" class="mention hashtag" rel="tag">#<span>гит</span></a> <a href="https://zhub.link/tags/pentest" class="mention hashtag" rel="tag">#<span>pentest</span></a></p>
Habr<p>Начинаем в багбаунти: доступно об уязвимостях типа Broken Access Control</p><p>Привет, меня зовут Александр (aka bytehope). Прежде чем прийти к багхантингу, я пять лет занимался коммерческой разработкой. Однако меня всегда больше интересовал поиск уязвимостей, поэтому сейчас свое свободное время я провожу на площадках багбаунти. Эту статью я решил посвятить уязвимостям, связанным с недостатками контроля прав (Broken Access Control). Вы узнаете, что это очень распространенный баг, который может проявляться самыми разными способами. Конечно, особый акцент будет сделан на практике: я покажу, как отловить четыре разных вида этой уязвимости в лабах Web Security Academy. Начнем с самых простых примеров, поэтому статья подойдет для начинающих охотников. Смело заглядывайте под кат! Начнем хантить баги?</p><p><a href="https://habr.com/ru/companies/pt/articles/855148/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/pt/artic</span><span class="invisible">les/855148/</span></a></p><p><a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82" class="mention hashtag" rel="tag">#<span>пентест</span></a> <a href="https://zhub.link/tags/standoff" class="mention hashtag" rel="tag">#<span>standoff</span></a> <a href="https://zhub.link/tags/broken_access_control" class="mention hashtag" rel="tag">#<span>broken_access_control</span></a> <a href="https://zhub.link/tags/idor" class="mention hashtag" rel="tag">#<span>idor</span></a> <a href="https://zhub.link/tags/uuid" class="mention hashtag" rel="tag">#<span>uuid</span></a> <a href="https://zhub.link/tags/%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF" class="mention hashtag" rel="tag">#<span>доступ</span></a> <a href="https://zhub.link/tags/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC" class="mention hashtag" rel="tag">#<span>взлом</span></a></p>
Habr<p>Standoff-онбординг: собираем команду, создаем баг-репорт и готовимся к соревнованиям</p><p>Всем привет! Это заключительный материал из нашего импровизированного цикла «Standoff-онбординг». В первой статье мы разобрали, как реализовывать фишинг и ломать внешний периметр, а во второй — взламывали внутренний периметр и АСУ ТП, а также говорили про дополнительные полезные источники и матрицу MITRE ATT&amp;CK. Напоследок мы решили подготовить вам подробный рассказ о том, как правильно взаимодействовать с порталом Standoff 365 и как попасть на соревнования, а также составили инструкцию по написанию баг-репорта и очень полезный чек-лист для подготовки к кибербитве. Подробности под катом, а с вами как всегда Антипина Александра ( N3m351d4 ) — капитан команды Cult 😊 Готовимся к соревнованиям!</p><p><a href="https://habr.com/ru/companies/pt/articles/852654/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/pt/artic</span><span class="invisible">les/852654/</span></a></p><p><a href="https://zhub.link/tags/standoff" class="mention hashtag" rel="tag">#<span>standoff</span></a> <a href="https://zhub.link/tags/standoff_365" class="mention hashtag" rel="tag">#<span>standoff_365</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82" class="mention hashtag" rel="tag">#<span>пентест</span></a> <a href="https://zhub.link/tags/cybersecurity" class="mention hashtag" rel="tag">#<span>cybersecurity</span></a> <a href="https://zhub.link/tags/%D0%B3%D0%B0%D0%B9%D0%B4" class="mention hashtag" rel="tag">#<span>гайд</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B9%D0%BF%D0%B0%D1%81" class="mention hashtag" rel="tag">#<span>байпас</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%80%D0%B5%D0%BF%D0%BE%D1%80%D1%82" class="mention hashtag" rel="tag">#<span>багрепорт</span></a> <a href="https://zhub.link/tags/%D1%82%D1%83%D1%82%D0%BE%D1%80%D0%B8%D0%B0%D0%BB" class="mention hashtag" rel="tag">#<span>туториал</span></a> <a href="https://zhub.link/tags/%D1%87%D0%B5%D0%BA%D0%BB%D0%B8%D1%81%D1%82" class="mention hashtag" rel="tag">#<span>чеклист</span></a></p>
Habr<p>[Перевод] Как я получил 50000 + 0 долларов за уязвимость в Zendesk</p><p>Привет, меня зовут Дэниел, мне пятнадцать лет, я имею опыт программирования, в свободное время занимаюсь поиском багов. В посте я расскажу безумную историю о том, как обнаружил один баг, затронувший больше половины компаний из списка Fortune 500. Поприветствуйте Zendesk Возможно, вы уже сталкивались с Zendesk. Это инструмент службы поддержки, используемый одними из самых богатых компаний мира. Он прост в настройке: достаточно указать ссылку на электронную почту технической поддержки компании (вида support@company.com ), и Zendesk сразу начнёт обрабатывать входящие письма и создавать тикеты. Вы можете работать с этими тикетами самостоятельно или передавать их команде службы поддержки. Компания Zendesk стоит несколько миллиардов долларов, ей доверяют такие крупные игроки, как Cloudflare. Лично мне всегда казалось удивительным, что такие огромные компании, стоящие миллиарды долларов, используют сторонние инструменты наподобие Zendesk, а не создают собственные инструменты для работы с тикетами. Ваше самое слабое звено Как гласит поговорка, «где тонко, там и рвётся». Так как Zendesk считается базовым инструментом обработки тикетов, компании часто настраивают его, особо не задумываясь. Чаще всего я встречал такую систему: все электронные письма с support@company.com перенаправляются в Zendesk. Почему это опасно? Многие компании используют свой домен company .com для единого входа (Single Sign-On, SSO), позволяющего сотрудникам быстро выполнять вход во внутренние инструменты. Связывая Zendesk с тем же доменом, компании неосознанно создают потенциальную брешь в защите. Zendesk обрабатывает все письма домена, для которого он был сконфигурирован, поэтому если ваша система SSO не валидирует надлежащим образом адреса электронной почты, то любой, получивший доступ к вашему Zendesk, потенциально может воспользоваться этим для доступа к вашим внутренним системам. (Подробнее я расскажу об этом ниже.)</p><p><a href="https://habr.com/ru/companies/ruvds/articles/851106/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/ruvds/ar</span><span class="invisible">ticles/851106/</span></a></p><p><a href="https://zhub.link/tags/zendesk" class="mention hashtag" rel="tag">#<span>zendesk</span></a> <a href="https://zhub.link/tags/%D1%8D%D0%BA%D1%81%D0%BF%D0%BB%D0%BE%D0%B9%D1%82%D1%8B" class="mention hashtag" rel="tag">#<span>эксплойты</span></a> <a href="https://zhub.link/tags/slack" class="mention hashtag" rel="tag">#<span>slack</span></a> <a href="https://zhub.link/tags/%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>уязвимости</span></a> <a href="https://zhub.link/tags/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC" class="mention hashtag" rel="tag">#<span>взлом</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D1%80%D0%B6%D0%BA%D0%B0" class="mention hashtag" rel="tag">#<span>техническая_поддержка</span></a> <a href="https://zhub.link/tags/ruvds_%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4" class="mention hashtag" rel="tag">#<span>ruvds_перевод</span></a></p>
Habr<p>Standoff-онбординг: взлом внутреннего периметра, АСУ ТП и матрица MITRE ATT&amp;CK</p><p>И снова привет, Хабр! В прошлый раз мы разбирали, что из себя представляет онлайн-полигон Standoff и как можно взломать его внешний периметр. В этой статье пойдем дальше — расскажем, что делать с внутренним периметром и АСУ ТП, а также какие еще знания могут пригодиться на кибербитве. Мы по-прежнему ждем комментариев, если ваш опыт отличается от нашего. Всем комьюнити будем рады узнать, как участвует в Standoff именно ваша команда 😊 Продолжаем путь багхантера</p><p><a href="https://habr.com/ru/companies/pt/articles/849918/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/pt/artic</span><span class="invisible">les/849918/</span></a></p><p><a href="https://zhub.link/tags/standoff" class="mention hashtag" rel="tag">#<span>standoff</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82" class="mention hashtag" rel="tag">#<span>пентест</span></a> <a href="https://zhub.link/tags/cybersecurity" class="mention hashtag" rel="tag">#<span>cybersecurity</span></a> <a href="https://zhub.link/tags/%D0%B3%D0%B0%D0%B9%D0%B4" class="mention hashtag" rel="tag">#<span>гайд</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>багхантинг</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B9%D0%BF%D0%B0%D1%81" class="mention hashtag" rel="tag">#<span>байпас</span></a> <a href="https://zhub.link/tags/%D0%B0%D1%81%D1%83_%D1%82%D0%BF" class="mention hashtag" rel="tag">#<span>асу_тп</span></a> <a href="https://zhub.link/tags/%D1%82%D1%83%D1%82%D0%BE%D1%80%D0%B8%D0%B0%D0%BB" class="mention hashtag" rel="tag">#<span>туториал</span></a> <a href="https://zhub.link/tags/mitreatt" class="mention hashtag" rel="tag">#<span>mitreatt</span></a>&amp;amp;ck</p>
Habr<p>[Перевод] Методология баг-баунти: гайд для охотников за багами</p><p>Ирландский full-time багхантер Monke делится советами по осознанному хакингу и подборкой инструментов, упрощающих поиск уязвимостей. Бонусом — список полезных ресурсов для тех, кто интересуется темой баг-баунти.</p><p><a href="https://habr.com/ru/companies/bastion/articles/849370/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/bastion/</span><span class="invisible">articles/849370/</span></a></p><p><a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>багхантинг</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B5%D1%80" class="mention hashtag" rel="tag">#<span>багхантер</span></a> <a href="https://zhub.link/tags/bugbounty" class="mention hashtag" rel="tag">#<span>bugbounty</span></a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B_%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B5%D1%80%D0%B0" class="mention hashtag" rel="tag">#<span>инструменты_багхантера</span></a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B_%D1%85%D0%B0%D0%BA%D0%B5%D1%80%D0%B0" class="mention hashtag" rel="tag">#<span>инструменты_хакера</span></a> <a href="https://zhub.link/tags/%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F_%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>методология_багбаунти</span></a> <a href="https://zhub.link/tags/%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F_%D1%85%D0%B0%D0%BA%D0%B8%D0%BD%D0%B3%D0%B0" class="mention hashtag" rel="tag">#<span>методология_хакинга</span></a> <a href="https://zhub.link/tags/%D0%BE%D0%B1%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D1%85%D0%B0%D0%BA%D0%B8%D0%BD%D0%B3%D1%83" class="mention hashtag" rel="tag">#<span>обучение_хакингу</span></a></p>
Habr<p>Клуб охотников за ошибками: а что вы знаете о современном багхантинге?</p><p>Безопасная разработка для современного IT — важнее некуда. Однако создание крупных решений становится сложнее, обновления — всё быстрее. Трудно отловить все баги, убедиться, что пользовательский опыт и ценные данные безупречно защищены. Поэтому всё чаще компании не только развивают внутреннее ИБ-подразделение, но и обращаются к сообществу — открывают программы багхантинга: предлагают опытным айтишникам помочь в поиске уязвимостей. Мы хотим узнать, кто такой современный багхантер. Хотите помочь разобраться, кто такой багхантер на самом деле? Заходите под кат и поучаствуйте в исследовании. Неважен ваш грейд и неважно, насколько глубоко вы разбираетесь в теме: поучаствовать могут даже те, у кого нет в поиске уязвимостей никакого личного опыта. Нам важно понять, как этих специалистов видит IT-сообщество, в том числе те, кто никогда сам не занимался багхантингом. Поучаствовать</p><p><a href="https://habr.com/ru/specials/849390/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="">habr.com/ru/specials/849390/</span><span class="invisible"></span></a></p><p><a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>багхантинг</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B5%D1%80" class="mention hashtag" rel="tag">#<span>багхантер</span></a> <a href="https://zhub.link/tags/%D0%BE%D0%BF%D1%80%D0%BE%D1%81" class="mention hashtag" rel="tag">#<span>опрос</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B8" class="mention hashtag" rel="tag">#<span>баги</span></a> <a href="https://zhub.link/tags/%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8" class="mention hashtag" rel="tag">#<span>ошибки</span></a> <a href="https://zhub.link/tags/%D1%81%D0%BA%D0%BE%D1%83%D0%BF_%D1%82%D0%B5%D1%81%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F" class="mention hashtag" rel="tag">#<span>скоуп_тестирования</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B8%D1%81%D1%81%D0%BB%D0%B5%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5" class="mention hashtag" rel="tag">#<span>исследование</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%BE%D0%B8%D1%81%D0%BA_%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B5%D0%B9" class="mention hashtag" rel="tag">#<span>поиск_уязвимостей</span></a></p>
Habr<p>Standoff-онбординг: знакомство, фишинг и взлом внешнего периметра</p><p>Привет, Хабр! Если вы это читаете — значит, вы интересуетесь кибербитвой Standoff. Эта статья первая из цикла, цель которого познакомить с платформой всех, кто мечтает поучаствовать в кибербитве впервые. Интересно будет и матерым игрокам — ведь даже самая незначительная крупица опыта коллеги может стать неоспоримым преимуществом во время кибербитвы. На связи Антипина Александра ( N3m351d4 ) aka капитан команды Cult. Если ваш опыт не похож на наш, мы всем комьюнити будем рады узнать, как участвует в Standoff ваша команда. Ждем ваши истории в комментариях 😊 Начинаем путь багхантера</p><p><a href="https://habr.com/ru/companies/pt/articles/847464/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/pt/artic</span><span class="invisible">les/847464/</span></a></p><p><a href="https://zhub.link/tags/standoff" class="mention hashtag" rel="tag">#<span>standoff</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82" class="mention hashtag" rel="tag">#<span>пентест</span></a> <a href="https://zhub.link/tags/cybersecurity" class="mention hashtag" rel="tag">#<span>cybersecurity</span></a> <a href="https://zhub.link/tags/%D0%B3%D0%B0%D0%B9%D0%B4" class="mention hashtag" rel="tag">#<span>гайд</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>багхантинг</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B9%D0%BF%D0%B0%D1%81" class="mention hashtag" rel="tag">#<span>байпас</span></a> <a href="https://zhub.link/tags/%D1%84%D0%B8%D1%88%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>фишинг</span></a> <a href="https://zhub.link/tags/%D1%82%D1%83%D1%82%D0%BE%D1%80%D0%B8%D0%B0%D0%BB" class="mention hashtag" rel="tag">#<span>туториал</span></a></p>
Habr<p>Где и как искать этот ваш SSRF: первые шаги в багхантинге</p><p>Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем за год мне удалось ворваться в топ-10 исследователей на Standoff Bug Bounty (сейчас я на 5-м месте — можете проверить 😉). В своем дебютном посте кратко расскажу об уязвимости с подделкой запросов на стороне сервера (SSRF) и ее видах, покажу, как обнаруживать этот баг и почему его стоит искать даже на статических сайтах, а заодно подсвечу особенности работы с Burp Suite, Collaborator Everywhere и Wappalyzer. Статья будет полезна для прокачки скилов и поможет легче и быстрее обнаруживать SSRF в сервисах, размещенных на площадках багбаунти. Начнем хантить баги?</p><p><a href="https://habr.com/ru/companies/pt/articles/842598/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/pt/artic</span><span class="invisible">les/842598/</span></a></p><p><a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82" class="mention hashtag" rel="tag">#<span>пентест</span></a> <a href="https://zhub.link/tags/standoff" class="mention hashtag" rel="tag">#<span>standoff</span></a> <a href="https://zhub.link/tags/ssrf" class="mention hashtag" rel="tag">#<span>ssrf</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%BE%D0%B4%D0%B1%D0%BE%D1%80%D0%BA%D0%B0" class="mention hashtag" rel="tag">#<span>подборка</span></a> <a href="https://zhub.link/tags/sentry" class="mention hashtag" rel="tag">#<span>sentry</span></a> <a href="https://zhub.link/tags/%D0%B2%D0%B5%D0%B1%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F" class="mention hashtag" rel="tag">#<span>вебприложения</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%BE%D0%B2" class="mention hashtag" rel="tag">#<span>подделка_запросов</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B9%D0%BF%D0%B0%D1%81" class="mention hashtag" rel="tag">#<span>байпас</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>багхантинг</span></a></p>
Habr<p>Грубый подсчёт. Или как мне стало обидно, когда от вендоров требуют качественных приложений</p><p>Недавно был на сходке телеграм-канала, который посвящён безопасности мобильных приложений. Было много уязвимостей и лёгких подколок разработчиков мобильных приложений, которые пропускают сырые приложения в релиз (сырые с точки зрения безопасности).</p><p><a href="https://habr.com/ru/articles/831736/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="">habr.com/ru/articles/831736/</span><span class="invisible"></span></a></p><p><a href="https://zhub.link/tags/%D0%A1%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0" class="mention hashtag" rel="tag">#<span>Статистика</span></a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#<span>информационная_безопасность</span></a> <a href="https://zhub.link/tags/%D0%B1%D1%8E%D0%B4%D0%B6%D0%B5%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5" class="mention hashtag" rel="tag">#<span>бюджетирование</span></a> <a href="https://zhub.link/tags/%D1%84%D1%81%D1%82%D1%8D%D0%BA" class="mention hashtag" rel="tag">#<span>фстэк</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B2%D0%B5%D0%BD%D0%B4%D0%BE%D1%80%D1%8B" class="mention hashtag" rel="tag">#<span>вендоры</span></a></p>
Habr<p>Лучшее время для Яндекс BugBounty</p><p>Здравствуйте, дорогие хабровчане. Я давно уже хотел изучить результаты программы Яндекс BugBounty. Вот, наконец руки дошли. В этой простой и небольшой статье я рассмотрел доступные данные по ней, нашёл некоторые закономерности и вывел топ багхантеров. Если кому интересно, в каком квартале года больше всего отчётов об ошибках, или какой месяц самый лучший для их поиска, прошу под кат.</p><p><a href="https://habr.com/ru/articles/805913/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="">habr.com/ru/articles/805913/</span><span class="invisible"></span></a></p><p><a href="https://zhub.link/tags/%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81_bugbounty" class="mention hashtag" rel="tag">#<span>яндекс_bugbounty</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D1%85%D0%B0%D0%BD%D1%82%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>багхантинг</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B8" class="mention hashtag" rel="tag">#<span>баги</span></a> <a href="https://zhub.link/tags/bugbounty" class="mention hashtag" rel="tag">#<span>bugbounty</span></a></p>
Habr<p>Все об Offensive Security: о чем говорили на круглом столе AM Life</p><p>Лучшая защита – это нападение, причем на себя любимого. Все чаще бизнес выстраивает информационную безопасность именно по такому принципу. Своевременный пентест или Read Teaming, когда привлеченные подрядчики пытаются взломать корпоративную IT-инфраструктуру, помогает команде ИБ заранее обнаружить и закрыть бреши и сделать организацию по-настоящему неприступной для реальных злоумышленников. Однако Offensive Security не лишен нюансов и подводных камней. Из чего складывается наступательная кибербезопасность, как правильно ее реализовать и выбрать компетентных подрядчиков, на что обратить особое внимание? Обо всем этом и не только шла речь на круглом столе, в котором принял участие один из наших ведущих специалистов по пентестам.</p><p><a href="https://habr.com/ru/companies/bastion/articles/793354/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/bastion/</span><span class="invisible">articles/793354/</span></a></p><p><a href="https://zhub.link/tags/offensive_security" class="mention hashtag" rel="tag">#<span>offensive_security</span></a> <a href="https://zhub.link/tags/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>пентестинг</span></a> <a href="https://zhub.link/tags/red_teaming" class="mention hashtag" rel="tag">#<span>red_teaming</span></a> <a href="https://zhub.link/tags/%D1%84%D0%B8%D1%88%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="tag">#<span>фишинг</span></a> <a href="https://zhub.link/tags/%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#<span>кибербезопасность</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%BB%D0%BE%D0%B3_%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D0%B8_%D0%B1%D0%B0%D1%81%D1%82%D0%B8%D0%BE%D0%BD" class="mention hashtag" rel="tag">#<span>блог_компании_бастион</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a></p>
Habr<p>БагБаунти с АстраЛинус или то, что нужно знать о защищённости защищённой ОС</p><p>Хочу поделиться своим опытом участия в программе баг-хантинга ГК Астра (да, да - именно той, которая недавно совершила каминг‑аут IPO ) на платформе BI.ZONE Bug Bounty .</p><p><a href="https://habr.com/ru/articles/782112/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="">habr.com/ru/articles/782112/</span><span class="invisible"></span></a></p><p><a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#<span>информационная_безопасность</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B0%D0%B3%D0%B1%D0%B0%D1%83%D0%BD%D1%82%D0%B8" class="mention hashtag" rel="tag">#<span>багбаунти</span></a> <a href="https://zhub.link/tags/%D0%B0%D1%81%D1%82%D1%80%D0%B0%D0%BB%D0%B8%D0%BD%D1%83%D0%BA%D1%81" class="mention hashtag" rel="tag">#<span>астралинукс</span></a></p>