Хороший ответ на вопрос: "Хочу найти уязвимость в багбаунти. С чего начать, если про это ничего не знаешь?"

BUG BOUNTY. С ЧЕГО НАЧАТЬ НОВИЧКУ

Багхантинг - одно из наиболее перспективных и быстрорастущих направлений инфобеза с довольно низким порогом вхождения для новичков. Очень часто мне пишут в личку сообщения с просьбой посоветовать литературу и интересные ресурсы для старта в ББ. В своей статье собрал небольшой список материалов, которые в свое время использовал и до сих пор использую для изучения.

Записали максимально новичковый доклад

Привет. 29 сентября буду вот тут доклад докладывать. Кто хочет пообщатся, приходите - конференция бесплатная. https://ecode.ozon.tech/talks/3c2ad7b4092d4c18aefd1b5c5c4680f5

С докладами как с татуировками. Сделал один и вот уже девятый сидишь делаешь. https://safecodeconf.ru/talks/56755f5fcf804e83a0448518f68486ec

Вот и закончился Bugs Zone 3.0. В этот раз я заболела почти в начале и проболела 1.5 недели.

Но на волевых(ну не зря же пригласили?) посдавала багов почти в конце, что позволила занять 3 место. Большое спасибо https://bugbounty.bi.zone/ за такое мероприятие и за то что позвали.

Этот багс был, судя по статистике, менее денежный и с меньшим количеством багов, но не менее интересный и веселый.

Всем спасибо!

Написала статью по забавному, недавно полностью открытом моему отчету на Timeweb.
https://teletype.in/@8ug8eer/username_is_null_bug

Вот и подходит к концу этот год.
ИБ у меня и работа(DevSecOps) и хобби(багбаунти, обучение).

В этом году было:
* Найдено и принято 34 уязвимости на bugbounty.bi.zone и 15 на standoff365.com. Дубликатов всем еще очень много - 21.
* Поучаствовала во всех трех BUGS ZONE, в двух из них заняла призовое место.
* Получила мерч за vk bugbounty pass. Жалею, что так мало уделила времени VK и отвлекалась на программы в которых нужно постоянно спорить и что-то доказывать. Даже когда багу сначала исправили, а потом "не воспроизводится - инфо". Планирую в следующем году искать в основном у VK.
* Поучаствовала в OFFZONE - в следующем году хочу подать доклад и чтобы его приняли(пока получала отказы)
* Прочитала 3 доклада на SafeCode, E-Code и Standoff365
* Вписалась в обучающий движ уже вне работы

Из негативного:
* Я болела орз почти весь год кроме лета. Так что желаю себе в следующем году больше уделять времени здоровью.

Поздравляю всех с новым годом и желаю не болеть и творческих успехов в следующем году!

Как же тяжело "лежать в сторону Burp Suite", когда не занимался багбаунти 1.5 месяца. Отпуски и выходные прошли здорово, но садиться вечером смотреть сервисы я разучилась.

Все-таки в любом деле главное привычка и распорядок. Если привык заниматься раз в неделю по пятницам-субботам, то лучше его не прерывать такими долгими выходными.

"Опять работа, заг-заг"

По нашему с Анатолием Ивановым aka c0rv4x мастер-классу "Начинаем в багбаунти: какие базовые знания нужны, чтобы находить уязвимости" была написана статья.

https://habr.com/ru/companies/pt/articles/878360/

27 февраля будет VK Security Confab, посвященный багбаунти. Буду на нем читать доклад "Проклятие дубликатов: как выжить в багбаунти и не потерять мотивацию".

Хочу порассуждать как я для себя решаю эту проблему.
* Как уменьшить количество дубликатов и больше принятых отчетов
* Как не переставать искать и где нужно вовремя остановится

Думаю каждый, кто когда-либо получал пачку дубликатов сталкивался с проблемой и задумывался стоит ли там дальше искать.

Приходите)
https://team.vk.company/confab/

А вот и все расписание