Forwarded from Standoff 365
Спроси у более опытных коллег. Вернее, даже спрашивать не нужно — они уже записали видео, в котором все рассказали.
Смотри в новом
Смотри на YouTube или Rutube.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21👍2❤1💘1
Привет. 29 сентября буду вот тут доклад докладывать. Кто хочет пообщатся, приходите - конференция бесплатная. https://ecode.ozon.tech/talks/3c2ad7b4092d4c18aefd1b5c5c4680f5
🔥14❤10👏2👎1🤮1🙏1🤡1
С докладами как с татуировками. Сделал один и вот уже девятый сидишь делаешь. https://safecodeconf.ru/talks/56755f5fcf804e83a0448518f68486ec
SafeCode 2024 Autumn. Конференция по безопасности приложений
Посторонним вход воспрещен: ошибки аутентификации и авторизации | Доклад на SafeCode 2024 Autumn
Разберем кейсы из Bug Bounty — от критичных до низких проблем безопасности. Обсудим, какие из них могли найти правила SAST, а какие — автотесты.
🔥22❤3👍2
Вот и закончился Bugs Zone 3.0. В этот раз я заболела почти в начале и проболела 1.5 недели.
Но на волевых(ну не зря же пригласили?) посдавала багов почти в конце, что позволила занять 3 место. Большое спасибо https://bugbounty.bi.zone/ за такое мероприятие и за то что позвали.
Этот багс был, судя по статистике, менее денежный и с меньшим количеством багов, но не менее интересный и веселый.
Всем спасибо!
Но на волевых(ну не зря же пригласили?) посдавала багов почти в конце, что позволила занять 3 место. Большое спасибо https://bugbounty.bi.zone/ за такое мероприятие и за то что позвали.
Этот багс был, судя по статистике, менее денежный и с меньшим количеством багов, но не менее интересный и веселый.
Всем спасибо!
🔥33👏3👍1👎1🤮1💩1
Написала статью по забавному, недавно полностью открытом моему отчету на Timeweb.
https://teletype.in/@8ug8eer/username_is_null_bug
https://teletype.in/@8ug8eer/username_is_null_bug
Teletype
Как я создала аккаунт с именем NULL и мне стали приходить уведомления о покупки и продлении доменов других пользователей
Я очень люблю программу багбаунти Timeweb. Да у них много легаси, о которых они знают, но искать и взаимодействовать с командой...
🔥31👍3❤1
Вот и подходит к концу этот год.
ИБ у меня и работа(DevSecOps) и хобби(багбаунти, обучение).
В этом году было:
* Найдено и принято 34 уязвимости на bugbounty.bi.zone и 15 на standoff365.com. Дубликатов всем еще очень много - 21.
* Поучаствовала во всех трех BUGS ZONE, в двух из них заняла призовое место.
* Получила мерч за vk bugbounty pass. Жалею, что так мало уделила времени VK и отвлекалась на программы в которых нужно постоянно спорить и что-то доказывать. Даже когда багу сначала исправили, а потом "не воспроизводится - инфо". Планирую в следующем году искать в основном у VK.
* Поучаствовала в OFFZONE - в следующем году хочу подать доклад и чтобы его приняли(пока получала отказы)
* Прочитала 3 доклада на SafeCode, E-Code и Standoff365
* Вписалась в обучающий движ уже вне работы
Из негативного:
* Я болела орз почти весь год кроме лета. Так что желаю себе в следующем году больше уделять времени здоровью.
Поздравляю всех с новым годом и желаю не болеть и творческих успехов в следующем году!
ИБ у меня и работа(DevSecOps) и хобби(багбаунти, обучение).
В этом году было:
* Найдено и принято 34 уязвимости на bugbounty.bi.zone и 15 на standoff365.com. Дубликатов всем еще очень много - 21.
* Поучаствовала во всех трех BUGS ZONE, в двух из них заняла призовое место.
* Получила мерч за vk bugbounty pass. Жалею, что так мало уделила времени VK и отвлекалась на программы в которых нужно постоянно спорить и что-то доказывать. Даже когда багу сначала исправили, а потом "не воспроизводится - инфо". Планирую в следующем году искать в основном у VK.
* Поучаствовала в OFFZONE - в следующем году хочу подать доклад и чтобы его приняли(пока получала отказы)
* Прочитала 3 доклада на SafeCode, E-Code и Standoff365
* Вписалась в обучающий движ уже вне работы
Из негативного:
* Я болела орз почти весь год кроме лета. Так что желаю себе в следующем году больше уделять времени здоровью.
Поздравляю всех с новым годом и желаю не болеть и творческих успехов в следующем году!
🔥40❤11☃7🥴3👍2🎄2👎1🎅1
Как же тяжело "лежать в сторону Burp Suite", когда не занимался багбаунти 1.5 месяца. Отпуски и выходные прошли здорово, но садиться вечером смотреть сервисы я разучилась.
Все-таки в любом деле главное привычка и распорядок. Если привык заниматься раз в неделю по пятницам-субботам, то лучше его не прерывать такими долгими выходными.
"Опять работа, заг-заг"
Все-таки в любом деле главное привычка и распорядок. Если привык заниматься раз в неделю по пятницам-субботам, то лучше его не прерывать такими долгими выходными.
"Опять работа, заг-заг"
❤11🔥6💯4😱2👍1
По нашему с Анатолием Ивановым aka c0rv4x мастер-классу "Начинаем в багбаунти: какие базовые знания нужны, чтобы находить уязвимости" была написана статья.
https://habr.com/ru/companies/pt/articles/878360/
https://habr.com/ru/companies/pt/articles/878360/
Хабр
Начинаем в багбаунти: распродажа уязвимостей в Juice Shop, или Как искать простейшие баги в веб-приложениях
Привет, меня зовут Анна Куренова ( @SavAnna ), в IT я уже девять лет. Начинала как разработчик и тестировщик, потом начала искать уязвимости и перешла в ИБ. Сейчас работаю DevSecOps-инженером и веду...
🔥26❤1👍1
27 февраля будет VK Security Confab, посвященный багбаунти. Буду на нем читать доклад "Проклятие дубликатов: как выжить в багбаунти и не потерять мотивацию".
Хочу порассуждать как я для себя решаю эту проблему.
* Как уменьшить количество дубликатов и больше принятых отчетов
* Как не переставать искать и где нужно вовремя остановится
Думаю каждый, кто когда-либо получал пачку дубликатов сталкивался с проблемой и задумывался стоит ли там дальше искать.
Приходите)
https://team.vk.company/confab/
Хочу порассуждать как я для себя решаю эту проблему.
* Как уменьшить количество дубликатов и больше принятых отчетов
* Как не переставать искать и где нужно вовремя остановится
Думаю каждый, кто когда-либо получал пачку дубликатов сталкивался с проблемой и задумывался стоит ли там дальше искать.
Приходите)
https://team.vk.company/confab/
👍17🔥7😁3
Forwarded from InfoSec VK Hub
27 февраля в московском офисе
Программа митапа уже на сайте, а вот небольшой спойлер:
И конечно, афтепати!
Обсудим доклады, обменяемся идеями и классно проведем время.
VK Security
#митап #confab #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍3❤1💯1
Проклятие_дубликатов_как_выжить_в_багбаунти_и_не_потерять_мотивацию.pdf
1.7 MB
Презентация "Проклятие дубликатов: как выжить в багбаунти и не потерять мотивацию" с VK Security Confab.
Больше всего вопросов возникло по моим начинаниям автоматизации. Буду продолжать наращивать и экспериментировать сколько она будет находить принятых багов в багбаунти.
Больше всего вопросов возникло по моим начинаниям автоматизации. Буду продолжать наращивать и экспериментировать сколько она будет находить принятых багов в багбаунти.
❤19🔥5🤔1🤩1
Всем доброго вечера.
Выложили в открытый доступ мой доклад по тестированию "дана страница авторизации, что делать будем, как выкручиваться?". Пройдем путь программиста Васи (все совпадения случайны), которому надо внести изменения в аутентификацию. Доклад ориентирован на новичков.
Выложили в открытый доступ мой доклад по тестированию "дана страница авторизации, что делать будем, как выкручиваться?". Пройдем путь программиста Васи (все совпадения случайны), которому надо внести изменения в аутентификацию. Доклад ориентирован на новичков.
🔥12
Forwarded from SafeCode — конференция по безопасности приложений
#видеозаписи
Известно, что аутентификация, авторизация и идентификация — понятия разные, хоть и взаимосвязанные. А вот какие проблемы присущи этим понятиям?
#БезопаснаяСреда открывает запись доклада об этом.
YouTube | VK Видео
Скачать презентацию с сайта SafeCode
Известно, что аутентификация, авторизация и идентификация — понятия разные, хоть и взаимосвязанные. А вот какие проблемы присущи этим понятиям?
#БезопаснаяСреда открывает запись доклада об этом.
YouTube | VK Видео
Скачать презентацию с сайта SafeCode
🔥21❤4👍2
Всем привет.
У VK bugbounty появился личный кабинет багхантера
Теперь можно в одном месте посмотреть процент увеличения выплаты следующего отчета, а не искать следующий комментарий
Было интересно
* Как быстро обновится процент после принятого отчета - задержек не замечено.
*Нет ли возможности подшаманить процент через ЛК - не обнаружено
Что еще не хватает?
VK за разные активности назначают промокоды: награждение, принятый, но не оплаченный отчет, на конференциях. Было бы здорово, если бы они так же отображались в личном кабинете.
У VK bugbounty появился личный кабинет багхантера
Теперь можно в одном месте посмотреть процент увеличения выплаты следующего отчета, а не искать следующий комментарий
Текущий % Bounty Pass: 8.
Было интересно
* Как быстро обновится процент после принятого отчета - задержек не замечено.
*
Что еще не хватает?
VK за разные активности назначают промокоды: награждение, принятый, но не оплаченный отчет, на конференциях. Было бы здорово, если бы они так же отображались в личном кабинете.
👍9❤4❤🔥1
Начала использовать навыки с работы в багбаунти и писать автоматизацию.
В качестве системы управления уязвимостями используется defectdodjo.
Структура следующая: group -> вендор, project -> бб программа, engagement -> сканер.
Через pipeline_schedules задается багбаунти программа и все ее настройки: логин/пароль тестовой учетки, скоуп, нужно ли сканировать поддомены и тд.
Запуск по cron -> Сбор данных ->DAST -> defectdodjo -> нотификация о новых срабатываниях в телеграм.
Процесс протестирован на текущем Bugs Zone 4. Еще очень много надо сделать, чтобы жать кнопку "богатства", но пользу уже приносит.
В качестве системы управления уязвимостями используется defectdodjo.
Структура следующая: group -> вендор, project -> бб программа, engagement -> сканер.
Через pipeline_schedules задается багбаунти программа и все ее настройки: логин/пароль тестовой учетки, скоуп, нужно ли сканировать поддомены и тд.
Запуск по cron -> Сбор данных ->DAST -> defectdodjo -> нотификация о новых срабатываниях в телеграм.
Процесс протестирован на текущем Bugs Zone 4. Еще очень много надо сделать, чтобы жать кнопку "богатства", но пользу уже приносит.
🔥29👍9❤1
Факторы влияющие для меня на то, стоит ли багхантить в программе
* Скорость ответа
* Адекватность
* Честность
* Размер вознаграждения
Первый пункт помогает быстрее понять остальные и ответить на вопрос "а стоит ли тратить время?" Я обычно закидываю 1-2 отчета и жду. Если взаимодействие с программой было успешным и адекватным, то продолжать стоит. Но некоторые 2 месяца отчет в дубликат переводят после напоминаний раз в месяц. Триаж бывает очень долгий, причем у программ у которых 2-5 отчетов за квартал. Для багхантера же черный ящик процессов - отчет за месяц остался со статусом "Новый".
Забить | Напоминать каждые 2 недели | Скидывать мемы о том как ты ждешь?
Мне лично не нужно быстро получить вознаграждение (готова и пол года ждать, такое уже было), но знать, что над отчетом ведется работа, его не забыли - важно. Без знания, что не будет проблем и споров - продолжать искать, кажется, не стоит.
Менять статус с "Новый" или хотя бы писать "Отчет взяли в работу" - важно и полезно.
#bugbounty
* Скорость ответа
* Адекватность
* Честность
* Размер вознаграждения
Первый пункт помогает быстрее понять остальные и ответить на вопрос "а стоит ли тратить время?" Я обычно закидываю 1-2 отчета и жду. Если взаимодействие с программой было успешным и адекватным, то продолжать стоит. Но некоторые 2 месяца отчет в дубликат переводят после напоминаний раз в месяц. Триаж бывает очень долгий, причем у программ у которых 2-5 отчетов за квартал. Для багхантера же черный ящик процессов - отчет за месяц остался со статусом "Новый".
Забить | Напоминать каждые 2 недели | Скидывать мемы о том как ты ждешь?
Мне лично не нужно быстро получить вознаграждение (готова и пол года ждать, такое уже было), но знать, что над отчетом ведется работа, его не забыли - важно. Без знания, что не будет проблем и споров - продолжать искать, кажется, не стоит.
Менять статус с "Новый" или хотя бы писать "Отчет взяли в работу" - важно и полезно.
#bugbounty
👍16❤2