Всем привет.
Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов.
Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки, чек-листы, security понедельники. Не все из этого было эффективно, многое менялось или отмирало.
Сейчас перешли к очным форматам по блокам: доклад 1 час + решение лабы поствиггера вместе. 1 блок 3-4 занятия каждые 2 недели.
Лучшее за год и то что было понятнее всего слушателям (и где остался не 1 человек) - подаю доклад и очень часто это что-то из BAC или аутентификации. Так как забавных и странных примеров из багбаунти тоже накопилось, надеюсь будет интересно и начинающим багхантерам/специалистам ИБ - доклад "Broken access control через уязвимости бизнес-логики".
https://heisenbug.ru/talks/424941c1972c49568ccc85a4e62ebbf4/?referer=%2Fschedule%2Ftable%2F
Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов.
Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки, чек-листы, security понедельники. Не все из этого было эффективно, многое менялось или отмирало.
Сейчас перешли к очным форматам по блокам: доклад 1 час + решение лабы поствиггера вместе. 1 блок 3-4 занятия каждые 2 недели.
Лучшее за год и то что было понятнее всего слушателям (и где остался не 1 человек) - подаю доклад и очень часто это что-то из BAC или аутентификации. Так как забавных и странных примеров из багбаунти тоже накопилось, надеюсь будет интересно и начинающим багхантерам/специалистам ИБ - доклад "Broken access control через уязвимости бизнес-логики".
https://heisenbug.ru/talks/424941c1972c49568ccc85a4e62ebbf4/?referer=%2Fschedule%2Ftable%2F
Heisenbug 2025 Autumn. Конференция по тестированию не только для тестировщиков
Broken access control через уязвимости бизнес-логики | Доклад на Heisenbug 2025 Autumn
Этот доклад посвящен Broken Access Control (BAC), возникающему из-за уязвимостей бизнес-логики. На примерах из багбаунти и реальных проектов рассмотрю критические проблемы: дефолтные права, интеграцию, автопродление, коллизии, отзыв прав, проблемы последовательности…
❤20👍10❤🔥6👀1
Пока что самая проблемная часть моей автоматизации - это я.
Мне надо в ручную:
* Добавить в конфиг новую программу.
* Если это мобильное приложение, то разобраться на каком домене оно работает.
* Зарегистрировать пользователя.
* Потриажить отчеты.
Недавно добавили в приватку, где я это все сделала только на второй день и пошла триажить еще через день. Авто нашло очень много валидных багов, но за это время программа ушла в архив на паузу.Ленивая мушка не хочет летать, ленивый мальчишка не хочет читать, ленивый аппсек не хочет файндинги разбирать.
Надо уже быстрее доделывать стабильный триаж через AI. Хотя тогда придется сразу бежать заводить баг (а не всегда могу сразу и опять же лень). Подумываю завести отдельный аккаунт под AI, чтобы он сам заводил баги, но пока жалею сил триажеров. Все-таки я скринкаст пишу и галлюцинации отсекаю. Хотя мне кажется эксперимент будет интересный.
При этом автоматизация рекона очень помогает, когда я в ручную сажусь искать и работает он быстрее dast-ов.
Мне надо в ручную:
* Добавить в конфиг новую программу.
* Если это мобильное приложение, то разобраться на каком домене оно работает.
* Зарегистрировать пользователя.
* Потриажить отчеты.
Недавно добавили в приватку, где я это все сделала только на второй день и пошла триажить еще через день. Авто нашло очень много валидных багов, но за это время программа ушла в архив на паузу.
Надо уже быстрее доделывать стабильный триаж через AI. Хотя тогда придется сразу бежать заводить баг (а не всегда могу сразу и опять же лень). Подумываю завести отдельный аккаунт под AI, чтобы он сам заводил баги, но пока жалею сил триажеров. Все-таки я скринкаст пишу и галлюцинации отсекаю. Хотя мне кажется эксперимент будет интересный.
При этом автоматизация рекона очень помогает, когда я в ручную сажусь искать и работает он быстрее dast-ов.
🔥22❤🔥3
Личное != профессиональному.
Как вы думаете за что могут исключить из приватной программы багбаунти? Раньше я думала, что за вопиющее поведение: регулярное нарушение скоупа, хамство, спам, публичного оскорбления. В общем не адекватного поведения. Со стороны триажера тоже скажу, что даже если хамят, то остаешься в рамках деловой этики. Оцениваешь баг, а не человека.
Сейчас исключили меня - вендор был по многим пунктам очень проблемный, но так как тестировать их просто нравилось, то багов 20 им занесла, среди которых были критичные. И несмотря на все проблемы, занижения и "нам разработчик сказал после фикса, что такого не могло быть" - тестировать сервис мне нравилось и продолжала сдавать. Но вендор как-будто вообще не собирался меняться и я начала шутить, что меня лично они не любят.
Оказалось все так и шутка была не шуткой. Standoff365 сказал, что я вендору очень сильно не нравлюсь и обиделись за этот пост https://t.iss.one/standoff_365_chat/125209 и требуют standoff365 меня исключить из программы.
Я ни разу не хамила, ни раскрывала публично кто это, проставляла хедер, сдавала валидные баги и подавала их на арбитраж и вот оказалось "очень сильно лично не нравлюсь", а вместо фикса на критику можно обидеться в стиле "начинающего художника".
Мне очень не нравится позиция некоторых вендоров в стиле страуса "зарывания головы в песок". В условиях нехватки багхантеров - курс не на комьюнити. Позиция площадки тоже не близка, но у них руки связаны коммерцией и правилами.
Как вы думаете за что могут исключить из приватной программы багбаунти? Раньше я думала, что за вопиющее поведение: регулярное нарушение скоупа, хамство, спам, публичного оскорбления. В общем не адекватного поведения. Со стороны триажера тоже скажу, что даже если хамят, то остаешься в рамках деловой этики. Оцениваешь баг, а не человека.
Сейчас исключили меня - вендор был по многим пунктам очень проблемный, но так как тестировать их просто нравилось, то багов 20 им занесла, среди которых были критичные. И несмотря на все проблемы, занижения и "нам разработчик сказал после фикса, что такого не могло быть" - тестировать сервис мне нравилось и продолжала сдавать. Но вендор как-будто вообще не собирался меняться и я начала шутить, что меня лично они не любят.
Оказалось все так и шутка была не шуткой. Standoff365 сказал, что я вендору очень сильно не нравлюсь и обиделись за этот пост https://t.iss.one/standoff_365_chat/125209 и требуют standoff365 меня исключить из программы.
Я ни разу не хамила, ни раскрывала публично кто это, проставляла хедер, сдавала валидные баги и подавала их на арбитраж и вот оказалось "очень сильно лично не нравлюсь", а вместо фикса на критику можно обидеться в стиле "начинающего художника".
Мне очень не нравится позиция некоторых вендоров в стиле страуса "зарывания головы в песок". В условиях нехватки багхантеров - курс не на комьюнити. Позиция площадки тоже не близка, но у них руки связаны коммерцией и правилами.
Telegram
Аня Куренова in Standoff 365 Chat
Некоторые бб так описаны, что как-будто сами против себя вооют.
Сидишь - гадаешь, вот это сообщение относится только к мобилкам или вообще ко всему, а не закроют ли они все баги ниже крита как дубли О_о
Какой-то исключительно негативный посыл вместо "вот…
Сидишь - гадаешь, вот это сообщение относится только к мобилкам или вообще ко всему, а не закроют ли они все баги ниже крита как дубли О_о
Какой-то исключительно негативный посыл вместо "вот…
🤯32😱7🤣3😁2🍓2👍1🔥1🤔1
Адекватность - главное в багбаунти программе.
Мне кажется, что самое главное - это не размер вилки выплат, скорость триажа, а адекватное отношение. От многих программ с низкой вилкой выплат осталось хорошее впечатление. С обоих сторон стоят люди, багхантеры тратят на исследование свое личное время и хотят честного, человеческого отношения.
В этом плане для меня VK - терапевтическая программа.
Лечит "израненную душу некоторыми багбаунти программами и долгими спорами".
Сдал уязвимость с уровнем "низкий", получил ее же. Без споров, долгих дискуссий, все понятно, адекватно и не очень долго. Единственный минус - зайти и посрывать высоко-рисковых "низко-висящих фруктов" не очень получается. Для меня - это игра в долгую, сидеть и разбираться в фичах. Выбрала 1 программу и переодически туда захожу лечить батхерты.
Так же единственная программа, которая повышала уровень, если я где-то недооценила и поставила меньше и платила больше чем рассчитывала.
Мне кажется, что самое главное - это не размер вилки выплат, скорость триажа, а адекватное отношение. От многих программ с низкой вилкой выплат осталось хорошее впечатление. С обоих сторон стоят люди, багхантеры тратят на исследование свое личное время и хотят честного, человеческого отношения.
В этом плане для меня VK - терапевтическая программа.
Лечит "израненную душу некоторыми багбаунти программами и долгими спорами".
Сдал уязвимость с уровнем "низкий", получил ее же. Без споров, долгих дискуссий, все понятно, адекватно и не очень долго. Единственный минус - зайти и посрывать высоко-рисковых "низко-висящих фруктов" не очень получается. Для меня - это игра в долгую, сидеть и разбираться в фичах. Выбрала 1 программу и переодически туда захожу лечить батхерты.
Так же единственная программа, которая повышала уровень, если я где-то недооценила и поставила меньше и платила больше чем рассчитывала.
❤29🔥5😁2👍1
Денежная ловушка или эксплуатация BAC биллинга
Кто-нибудь оплачивает свою корзину, не проверяя досконально каждый товар? Может быть у кого-нибудь родственники скидывают свою корзину?
История, когда сочетание простых багов, которые может найти каждый приводило к импакту кражи денег.
* IDOR
* Отсуствие проверки созданного инвойса с суммой заказа - можно создавать на любую сумму
* Связь инвойса с кошельком
* Возврат средств на кошелек при отмене тому кто создал инвойс, а не оплатил
* Создание ситуации, когда "жертва" всегда вынуждена отменить оплаченный заказ
https://habr.com/ru/articles/954312/
Кто-нибудь оплачивает свою корзину, не проверяя досконально каждый товар? Может быть у кого-нибудь родственники скидывают свою корзину?
История, когда сочетание простых багов, которые может найти каждый приводило к импакту кражи денег.
* IDOR
* Отсуствие проверки созданного инвойса с суммой заказа - можно создавать на любую сумму
* Связь инвойса с кошельком
* Возврат средств на кошелек при отмене тому кто создал инвойс, а не оплатил
* Создание ситуации, когда "жертва" всегда вынуждена отменить оплаченный заказ
https://habr.com/ru/articles/954312/
Хабр
Денежная ловушка или эксплуатация BAC биллинга
Дисклеймер: Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий. Названия методов и функционала немного видоизменена, чтобы...
🔥22❤10👏4😎1
Как я создала аккаунт с именем «NULL» и мне стали приходить уведомления о покупке доменов другими пользователями
Продолжаю публиковать старые баги на habr. О нем уже говорила на канале - немного дописала.
https://habr.com/ru/articles/955134/
Взаимодействие с таймвебом у меня максимально простое. Ночью сдал баг. На следующий день принимают, еще через день начисляют выплаты. Почти "быстро деньги" от мира бб, но без негативной коннотации.
Так же советую делать ритесты уже старых багов, иногда они появляются снова через год после фикса и проверки. Стоит ли писать регресс автотесты старых принятых уязвимостей - возможно?
Продолжаю публиковать старые баги на habr. О нем уже говорила на канале - немного дописала.
https://habr.com/ru/articles/955134/
Взаимодействие с таймвебом у меня максимально простое. Ночью сдал баг. На следующий день принимают, еще через день начисляют выплаты. Почти "быстро деньги" от мира бб, но без негативной коннотации.
Так же советую делать ритесты уже старых багов, иногда они появляются снова через год после фикса и проверки. Стоит ли писать регресс автотесты старых принятых уязвимостей - возможно?
Хабр
Как я создала аккаунт с именем «NULL» и мне стали приходить уведомления о покупке доменов другими пользователями
Дисклеймер: Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий. Мы здесь все учимся и делимся историями. Всем привет. Меня...
❤15😁10🔥8👏6🤩1
Розыгрыш 9 билетов на афтепати Bugs Zone 6
Всем привет, 7 ноября в Москве пройдет афтепати Bugs Zone 6.
Что будет:
* Доклады - некоторые бывают не под запись
* Возможность пообщаться с вендорами, другими багхантерамии обсудить секретики
* Мерч
* Пиво
Что для этого нужно сделать:
* Быть багхантером - иметь хотя бы 1 оплаченный отчет на любой из площадок или self hosted программ.
* Написать в этот тред любой забавный или странный момент из опыта багхантинга, какой-нибудь необычный баг или способ багхантинга, что-то чем хотелось бы поделится
Например - мои истории:
* Я переодически сдаю лоу-медиум баги - html injection в теле письма, просматривая спам-маркетинговые рассылки на багхантерских почтах.
* Один из первых простых багов за который бы мне заплатили деньги я не сдала и только потом узнала, что сдать было можно.
* Сломала данные своего банка и не получала зарплату 1 неделю (там было кривая дедубликация).
* Нашла race condition и списала за 1 товар 6 раз (а хотелось наоборот) и месяц воевала с саппортом, чтобы деньги вернули (и до сих пор пытаюсь вернуть).
Подробнее про мероприятие тут https://t.iss.one/bizone_bb/578
Итоги будут 1 ноября.
Всем привет, 7 ноября в Москве пройдет афтепати Bugs Zone 6.
Что будет:
* Доклады - некоторые бывают не под запись
* Возможность пообщаться с вендорами, другими багхантерами
* Мерч
* Пиво
Что для этого нужно сделать:
* Быть багхантером - иметь хотя бы 1 оплаченный отчет на любой из площадок или self hosted программ.
* Написать в этот тред любой забавный или странный момент из опыта багхантинга, какой-нибудь необычный баг или способ багхантинга, что-то чем хотелось бы поделится
Например - мои истории:
* Я переодически сдаю лоу-медиум баги - html injection в теле письма, просматривая спам-маркетинговые рассылки на багхантерских почтах.
* Один из первых простых багов за который бы мне заплатили деньги я не сдала и только потом узнала, что сдать было можно.
* Сломала данные своего банка и не получала зарплату 1 неделю (там было кривая дедубликация).
* Нашла race condition и списала за 1 товар 6 раз (а хотелось наоборот) и месяц воевала с саппортом, чтобы деньги вернули (и до сих пор пытаюсь вернуть).
Подробнее про мероприятие тут https://t.iss.one/bizone_bb/578
Итоги будут 1 ноября.
Telegram
BI.ZONE Bug Bounty
🪲 BUGS ZONE 6.0: встречаемся 7 ноября!
Готовим наш любимый приватный ивент: хантинг в закрытом скоупе, наш фирменный мерч, церемония награждения и афтепати — все, как мы любим :)
Приглашения скоро отправим багхантерам с лучшими результатами в этом сезоне.…
Готовим наш любимый приватный ивент: хантинг в закрытом скоупе, наш фирменный мерч, церемония награждения и афтепати — все, как мы любим :)
Приглашения скоро отправим багхантерам с лучшими результатами в этом сезоне.…
🔥12❤5🤩2😁1🐳1
Вот и закончился Bugs 6.
В этот раз было 4 вендора с широким скоупом - было что выбрать потестировать. Вендорам спасибо за рыбу - выплаты и мерч, команде bi.zone bugbounty большая благодарность за приглашение и организацию этого мероприятия, победителям поздравления.
Первый раз смогла доехать на очную часть. Очень была рада со всеми увидится. Было здорово.
Ждем bugs 7 в следующем году.
В этот раз было 4 вендора с широким скоупом - было что выбрать потестировать. Вендорам спасибо за рыбу - выплаты и мерч, команде bi.zone bugbounty большая благодарность за приглашение и организацию этого мероприятия, победителям поздравления.
Первый раз смогла доехать на очную часть. Очень была рада со всеми увидится. Было здорово.
Ждем bugs 7 в следующем году.
🔥25❤7
8ug8ear
Всем привет. Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов. Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки…
Heisenbug_Broken_access_control_через_уязвимости_бизнес_логики.pdf
6.8 MB
Презентация и чек-лист с Heisenbug 2025 - "Broken access control через уязвимости бизнес-логики"
В недавно опубликованном OWASP Top Ten 2025 Broken access control все еще занимает первое место. Среди моих багов, принятых в багбаунти, наверное половина на этот тип уязвимости.
Начинающим багхантерам, QA и тем кто еще только думает припасть к ИБ на заметку.
https://github.com/VasilyevaAn/bac-business-logic-checklist
В недавно опубликованном OWASP Top Ten 2025 Broken access control все еще занимает первое место. Среди моих багов, принятых в багбаунти, наверное половина на этот тип уязвимости.
Начинающим багхантерам, QA и тем кто еще только думает припасть к ИБ на заметку.
https://github.com/VasilyevaAn/bac-business-logic-checklist
👍18🔥10❤5
На Bugs 6 вела свою игру по мемам из багбаунти.
Презентацию прикладываю. Мой любимым мем - почему CTF-феры не занимаются багбаунти?
Каждому багхантеру по жуку.
Презентацию прикладываю. Мой любимым мем - почему CTF-феры не занимаются багбаунти?
Каждому багхантеру по жуку.
🔥16❤10😁3
Говорить на языке бизнеса в багбаунти
Я долго удивлялась почему мне иногда так занижают уязвимости. Я научилась демонстрировать импакт, а не сдавать просто XSS с алертом. Пишу видео демонстрации, стараюсь быть понятной, собираю цепочки проблем, но все еще чего-то не хватает. Чего же?
Сообщество и внутренний голос говорили, что просто не надо работать смудаками не зрелыми программами, но кажется, что такой взгляд слишком поверхностный и проблема глубже.
В этом году получила через BAC чужие балансы и истории операций в системе. Там были особенности, которые позволяли запрашивать по своей компании, а получать чужие данные. Я выгрузила данные 2х компаний за 12 лет с тратами 30 млн. Заплатили за это после фикса 10к с комментариями, что юристы сказали, что никакого нарушения тут не происходит так как нет идентификации клиента. Данные о фирмах можно получить публично в этой системе, по другими данным это можно увидеть. И казалось, что стоило добавить эту информацию в отчет, но мне она казалась очевидной и поэтому я не стала при написании отчета это показывать. Оспорить выплату не получилось. Похожая история, когда заплатили за IDOR с критичным импактом как за лоу багу, потому что это "IDOR не интересная проблема".
Посмотрев эту дискуссию, поняла, что среднестатистический CISO не заплатит за просто IDOR, XSS и тд как за крит. Но бизнес умеет хорошо считать деньги.
Попробовала действовать по другому. Завела отчет, где показала, что не просто получила фичу бесплатно "вот так". Продемонстрировала сколько стоит эта фича по тарифам системы, что это главная фича для работы аккаунта, что вот такие и такие настройки приватности она нарушает. И мне заплатили по нижней границе "крита", хотя я завела отчет как "высокий", т е гораздо выше чем я рассчитывала. Тот же самый вендор, что очень сильно снижал критичность ранее.
Реализация каких рисков крично для компании? На вскидку скажу, что никто не хочет нарваться на штраф, потерять прибыль от сервиса, получить простой сервиса с долгим восстановлением, получить кражу аккаунтов пользователей.
Далеко не все баги и стоимость убытков при реализации можно подсчитать, а сделать это снаружи в рамках багбаунти кажется задачей не реальной. Сколько стоит 1 час простоя главного сервиса? А какого-нибудь низкоуровнего, который денег не приносит? Но держать в голове и в отчете реализацию рисков, смотреть на баг в рамках вектора атаки - точно стоит. Деньги бизнес сам посчитает, если ему на это указать и понятно описать.
Какие тут стоит сделать выводы? Нужно говорить не только на языке технарей, сдавая крутой poc, но и на языке бизнеса, потому что именно он решает в конечном счете сколько стоит баг.
Я долго удивлялась почему мне иногда так занижают уязвимости. Я научилась демонстрировать импакт, а не сдавать просто XSS с алертом. Пишу видео демонстрации, стараюсь быть понятной, собираю цепочки проблем, но все еще чего-то не хватает. Чего же?
Сообщество и внутренний голос говорили, что просто не надо работать с
В этом году получила через BAC чужие балансы и истории операций в системе. Там были особенности, которые позволяли запрашивать по своей компании, а получать чужие данные. Я выгрузила данные 2х компаний за 12 лет с тратами 30 млн. Заплатили за это после фикса 10к с комментариями, что юристы сказали, что никакого нарушения тут не происходит так как нет идентификации клиента. Данные о фирмах можно получить публично в этой системе, по другими данным это можно увидеть. И казалось, что стоило добавить эту информацию в отчет, но мне она казалась очевидной и поэтому я не стала при написании отчета это показывать. Оспорить выплату не получилось. Похожая история, когда заплатили за IDOR с критичным импактом как за лоу багу, потому что это "IDOR не интересная проблема".
Посмотрев эту дискуссию, поняла, что среднестатистический CISO не заплатит за просто IDOR, XSS и тд как за крит. Но бизнес умеет хорошо считать деньги.
Попробовала действовать по другому. Завела отчет, где показала, что не просто получила фичу бесплатно "вот так". Продемонстрировала сколько стоит эта фича по тарифам системы, что это главная фича для работы аккаунта, что вот такие и такие настройки приватности она нарушает. И мне заплатили по нижней границе "крита", хотя я завела отчет как "высокий", т е гораздо выше чем я рассчитывала. Тот же самый вендор, что очень сильно снижал критичность ранее.
Реализация каких рисков крично для компании? На вскидку скажу, что никто не хочет нарваться на штраф, потерять прибыль от сервиса, получить простой сервиса с долгим восстановлением, получить кражу аккаунтов пользователей.
Далеко не все баги и стоимость убытков при реализации можно подсчитать, а сделать это снаружи в рамках багбаунти кажется задачей не реальной. Сколько стоит 1 час простоя главного сервиса? А какого-нибудь низкоуровнего, который денег не приносит? Но держать в голове и в отчете реализацию рисков, смотреть на баг в рамках вектора атаки - точно стоит. Деньги бизнес сам посчитает, если ему на это указать и понятно описать.
Какие тут стоит сделать выводы? Нужно говорить не только на языке технарей, сдавая крутой poc, но и на языке бизнеса, потому что именно он решает в конечном счете сколько стоит баг.
❤23🔥9
Иногда сложно снаружи оценить влияние бага на бизнес
В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной.
Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу).
Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием.
Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.
В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной.
Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу).
Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием.
Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.
😁6👍3👏1
Чек-листы безопасности для QA
На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.
Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.
Что-то возможно пора обновить, но пусть будет ссылками.
* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug
На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.
Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.
Что-то возможно пора обновить, но пусть будет ссылками.
* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug
GitHub
GitHub - VasilyevaAn/bac-business-logic-checklist
Contribute to VasilyevaAn/bac-business-logic-checklist development by creating an account on GitHub.
🔥28🤩2
Итоги готового багхантинга
Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.
Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty
Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.
Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).
Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.
В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.
Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.
Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.
Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty
Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.
Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).
Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.
В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.
Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.
🔥29👍5🤩3🎉2❤🔥1