[Минута мотивации для этичных хакеров]
Всем привет!👋
Недавно я решил попробовать себя в Bug Bounty. Пока уязвимости не такие крутые, но тем не менее уже удалось получить свою первую ачивку, чему очень рад!
Если бы мне ещё пол года назад сказали, что у меня будет хотя бы 1 подтвержденный репорт - я бы не поверил сразу :)
Всегда приятно получать символические презенты в деле, которое тебе искренне нравится. Это создает соревновательный дух и дополнительно мотивирует двигаться дальше в нашей сфере🦾
Помните, что всему можно научиться. Никто не рождается гуру-хакером из коробки. Уверен, что труд и прилежание всегда окупаются. Двигайтесь вперед, планомерно, в своем темпе, но на регулярной основе. И не останавливайтесь на достигнутом, тогда вас обязательно ждет успех!🔥
P/S Есть ли ещё багхантеры среди нас? Пишите в комментарии👍🏻
#bug_bounty #motivation
Всем привет!👋
Недавно я решил попробовать себя в Bug Bounty. Пока уязвимости не такие крутые, но тем не менее уже удалось получить свою первую ачивку, чему очень рад!
Если бы мне ещё пол года назад сказали, что у меня будет хотя бы 1 подтвержденный репорт - я бы не поверил сразу :)
Всегда приятно получать символические презенты в деле, которое тебе искренне нравится. Это создает соревновательный дух и дополнительно мотивирует двигаться дальше в нашей сфере🦾
Помните, что всему можно научиться. Никто не рождается гуру-хакером из коробки. Уверен, что труд и прилежание всегда окупаются. Двигайтесь вперед, планомерно, в своем темпе, но на регулярной основе. И не останавливайтесь на достигнутом, тогда вас обязательно ждет успех!🔥
P/S Есть ли ещё багхантеры среди нас? Пишите в комментарии👍🏻
#bug_bounty #motivation
👍22🔥15😁6🦄2
[ Bitrix — поговорим о наболевшем ]
Всем привет!👋
Многие неоднократно слышали о CMS Bitrix — весьма удобная система для управления сайтом. Однако сильно уязвимая из "коробки". Об эксплуатации многих нюансов и уязвимостей было не раз сказано в комьюнити этичных хакеров.
Сейчас я хочу внести свой скромный вклад и рассказать о замеченных мною недостатках и особенностях этой CMS.
Данные мелочи не раз помогали мне как на Bug Bounty, так и на проектах по внешнему пентесту.
Надеюсь, что эти маленькие нюансы в сумме смогут помочь вам и вашей команде на проектах.
Приятного чтения:)
#bitrix24 #web #bug_bounty
Всем привет!👋
Многие неоднократно слышали о CMS Bitrix — весьма удобная система для управления сайтом. Однако сильно уязвимая из "коробки". Об эксплуатации многих нюансов и уязвимостей было не раз сказано в комьюнити этичных хакеров.
Сейчас я хочу внести свой скромный вклад и рассказать о замеченных мною недостатках и особенностях этой CMS.
Данные мелочи не раз помогали мне как на Bug Bounty, так и на проектах по внешнему пентесту.
Надеюсь, что эти маленькие нюансы в сумме смогут помочь вам и вашей команде на проектах.
Приятного чтения:)
#bitrix24 #web #bug_bounty
🔥16👍11❤3🦄1
Всем привет👋
Пока @WILD_41 и @VlaDriev ожидали результатов премии pentest award, я успел получить презенты за акцию от TimeWeb в рамках их BB программы.
Спасибо большое @bizone_bb и @timewebru за подарки. Вы делаете крутые вещи в сфере bug bounty!💪
А я снова скажу: не бойтесь пробовать и продолжайте развиваться, всё возможно👍
#bug_bounty
Пока @WILD_41 и @VlaDriev ожидали результатов премии pentest award, я успел получить презенты за акцию от TimeWeb в рамках их BB программы.
Спасибо большое @bizone_bb и @timewebru за подарки. Вы делаете крутые вещи в сфере bug bounty!💪
А я снова скажу: не бойтесь пробовать и продолжайте развиваться, всё возможно👍
#bug_bounty
🔥20👍9❤4😍1🦄1
[ BUGS ZONE 3.0 ]
Всем привет!⭐
В прошедшую пятницу посетил приватный ивент для багхантеров от @bizone_bb BUGS ZONE 3.0🔥
Было круто: познакомился со многими классными ребятами, настоящими профи в bug bounty.💵
Пообщались/поели/попили/послушали доклады от лучших исследователей платформы.
Спасибо организаторам за приглашение, мотивируете охотиться за багами ещё активнее, чтобы залетать в топы✈️
P/S Отдельно поздравляем нашего товарища @crusher404 с заслуженным 2 местом⚡
#bug_bounty #bugs_zone3
Всем привет!
В прошедшую пятницу посетил приватный ивент для багхантеров от @bizone_bb BUGS ZONE 3.0
Было круто: познакомился со многими классными ребятами, настоящими профи в bug bounty.
Пообщались/поели/попили/послушали доклады от лучших исследователей платформы.
Спасибо организаторам за приглашение, мотивируете охотиться за багами ещё активнее, чтобы залетать в топы
P/S Отдельно поздравляем нашего товарища @crusher404 с заслуженным 2 местом
#bug_bounty #bugs_zone3
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21❤5👍5🦄1
[ BUGS ZONE 4.0 ]
Всем привет!👋
Недавно вместе с @WILD_41 посетили очередной ивент для сильнейших багхантеров от @bizone_bb
Круто пообщались с ребятами, вкусно поели/попили. Спасибо организатором за уютную тусовку, неформальное общение, а коллегам по цеху за два интересных доклада.
Вдвойне приятно, что в этот раз нас решили задарить подарками, отдельное спасибо за крутые подгоны 🤝
Начинающим рекомендуем пробовать себя в BugBounty, ведь кто знает, вдруг именно ты заберешь следующий BUGS и войдешь в топ лучших🔝
@GigaHack
#bug_bounty #bugs_zone4
Всем привет!
Недавно вместе с @WILD_41 посетили очередной ивент для сильнейших багхантеров от @bizone_bb
Круто пообщались с ребятами, вкусно поели/попили. Спасибо организатором за уютную тусовку, неформальное общение, а коллегам по цеху за два интересных доклада.
Вдвойне приятно, что в этот раз нас решили задарить подарками, отдельное спасибо за крутые подгоны 🤝
Начинающим рекомендуем пробовать себя в BugBounty, ведь кто знает, вдруг именно ты заберешь следующий BUGS и войдешь в топ лучших
@GigaHack
#bug_bounty #bugs_zone4
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍16❤5🤩2💩1
[ Итоги Bug Bounty за Q2 2025 ]
Всем привет!👋
Недавно подвели топ Исследователей за прошедший квартал на BI.ZONE Bug Bounty.
Мне по итогам 2-го квартала 2025 г. удалось залететь в🔝 )
Впечатления мега-приятные, результатом я более чем доволен, ведь ещё относительно недавно я делился первыми успехами тут и тут, а сейчас разделил топ с сильнейшими и именитыми хантерами платформы @bizone_bb.
Далее напишу несколько тезисов и некоторую статистику по итогам этих результатов:
➡️ Стал ли я считать себя крутым web-ером?
Скорее нет, но однозначно у меня повысилась насмотренность, я стал узнавать некоторые технические решения/используемые паттерны с полувзгляда и подбирать проверки, специфичные для конкретного стека на лету. Также в целом прокачался и выстроил некий план проверок под себя, потому что удалось пощупать веб-сервисы разных вендоров после многих крутых Исследователей, где нужно иногда мыслить шире, а не обкладываться в лоб условным
➡️ Теперь статистика:
⏺ Активно хантил я с 9 мая и до 26 июня, за это время сдал 22 подтвержденных репорта (1 из репортов зачелся в Q2 будучи отправленным ещё в марте). Программы 50/50 были приватными/публичными
⏺ Хантил я преимущественно черным ящиком (не использовал симку с номером тел. и практически нигде не регистрировал личный кабинет через почту). Тут могу отметить, что даже на поверхности находятся баги и весьма неплохие. Да, в среднем это low-medium находки, но свой кусочек пирога можно урвать, если внимательно исследовать и то, что лежит на поверхности функциональности до авторизации даже после десятков сданных отчетов от других багхантеров
⏺ Заметил интересный факт, о котором говорили многие хантеры независимо друг от друга: для 80% моих багов я даже не открывал Burp 😈 .
Очень "прокачался" в связке🖼️ + 🪙 . Для многих задач этого было более чем достаточно
⏺ Был приятно удивлен триажем как от самих вендоров, так и от первичного триажа @bizone_bb. Порадовала и скорость, и фактура (были информы, куда без них, но с адекватным обоснованием), за всё время только по одному репорту встретил на мой взгляд непонимание статуса
Также было приятно быстро получать фидбэк по нескольким возникшим вопросам по работе самой платформы от Руководителя продукта, это здорово
⏺ В процессе этого хантинга наткнулся на 2-3 необычных уязвимости бизнес-логики, но словил
⏺ А
Важно грамотно и лаконично описывать импакт — на мой взгляд это показывает и Ваш уровень как специалиста, так и уважение к Вендору/Триажеру, ведь всегда приятно читать понятный, структурированный и аккуратно оформленный отчет.
У меня иногда на формирование отчета уходило достаточно много времени, однако 1 раз это явно принесло свои плоды — первичный
Пост получается большим, поэтому если у Вас есть вопросы по хантингу — пишите в комментариях, с удовольствием отвечу!
В будущих постах планирую рассказать больше о технике, используемых инструментах и методологии поисков багов с моей стороны. Плюсом продолжим делиться интересными кейсами, которые выстреливают на BB, оставайтесь с нами👨💻
@GigaHack
#web #bug_bounty
Всем привет!
Недавно подвели топ Исследователей за прошедший квартал на BI.ZONE Bug Bounty.
Мне по итогам 2-го квартала 2025 г. удалось залететь в
топ-3 по количеству принятых отчетов, а также в топ-5 по начисленному рейтингу (по выплатам я далеко не в топе, но всё впереди Впечатления мега-приятные, результатом я более чем доволен, ведь ещё относительно недавно я делился первыми успехами тут и тут, а сейчас разделил топ с сильнейшими и именитыми хантерами платформы @bizone_bb.
Далее напишу несколько тезисов и некоторую статистику по итогам этих результатов:
Скорее нет, но однозначно у меня повысилась насмотренность, я стал узнавать некоторые технические решения/используемые паттерны с полувзгляда и подбирать проверки, специфичные для конкретного стека на лету. Также в целом прокачался и выстроил некий план проверок под себя, потому что удалось пощупать веб-сервисы разных вендоров после многих крутых Исследователей, где нужно иногда мыслить шире, а не обкладываться в лоб условным
dirsearch-ем и иным fuzzing-ом вслепуюОчень "прокачался" в связке
DevTools Mozilla Google-Dorking🔎 + curl = валидная бага info, так как буквально в соседней программе на том же стеке этой же баге был присвоен статус low/medium, и триажил это вроде бы один человек. Но меня это не напрягало, бага в любом случае была минорной.Также было приятно быстро получать фидбэк по нескольким возникшим вопросам по работе самой платформы от Руководителя продукта, это здорово
дубликат, причем они меня не расстроили, а наоборот добавили мотивации. Их я воспринял как мысль:"О, круто, я смотрю в нужном направлении, работаем дальше".info отчеты я перестал воспринимать близко к сердцу — просто решил, что нужно продолжать хантить и прокачивать навыки. Важно грамотно и лаконично описывать импакт — на мой взгляд это показывает и Ваш уровень как специалиста, так и уважение к Вендору/Триажеру, ведь всегда приятно читать понятный, структурированный и аккуратно оформленный отчет.
У меня иногда на формирование отчета уходило достаточно много времени, однако 1 раз это явно принесло свои плоды — первичный
info превратился в medium, так как я предложил рассмотреть вектор под другим углом и сам докрутил багу (показал альтернативную возможность эксплуатации)Пост получается большим, поэтому если у Вас есть вопросы по хантингу — пишите в комментариях, с удовольствием отвечу!
В будущих постах планирую рассказать больше о технике, используемых инструментах и методологии поисков багов с моей стороны. Плюсом продолжим делиться интересными кейсами, которые выстреливают на BB, оставайтесь с нами
@GigaHack
#web #bug_bounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥12❤2