Привет. 29 сентября буду вот тут доклад докладывать. Кто хочет пообщатся, приходите - конференция бесплатная. https://ecode.ozon.tech/talks/3c2ad7b4092d4c18aefd1b5c5c4680f5

С докладами как с татуировками. Сделал один и вот уже девятый сидишь делаешь. https://safecodeconf.ru/talks/56755f5fcf804e83a0448518f68486ec

Вот и закончился Bugs Zone 3.0. В этот раз я заболела почти в начале и проболела 1.5 недели.

Но на волевых(ну не зря же пригласили?) посдавала багов почти в конце, что позволила занять 3 место. Большое спасибо https://bugbounty.bi.zone/ за такое мероприятие и за то что позвали.

Этот багс был, судя по статистике, менее денежный и с меньшим количеством багов, но не менее интересный и веселый.

Всем спасибо!

Написала статью по забавному, недавно полностью открытом моему отчету на Timeweb.
https://teletype.in/@8ug8eer/username_is_null_bug

Вот и подходит к концу этот год.
ИБ у меня и работа(DevSecOps) и хобби(багбаунти, обучение).

В этом году было:
* Найдено и принято 34 уязвимости на bugbounty.bi.zone и 15 на standoff365.com. Дубликатов всем еще очень много - 21.
* Поучаствовала во всех трех BUGS ZONE, в двух из них заняла призовое место.
* Получила мерч за vk bugbounty pass. Жалею, что так мало уделила времени VK и отвлекалась на программы в которых нужно постоянно спорить и что-то доказывать. Даже когда багу сначала исправили, а потом "не воспроизводится - инфо". Планирую в следующем году искать в основном у VK.
* Поучаствовала в OFFZONE - в следующем году хочу подать доклад и чтобы его приняли(пока получала отказы)
* Прочитала 3 доклада на SafeCode, E-Code и Standoff365
* Вписалась в обучающий движ уже вне работы

Из негативного:
* Я болела орз почти весь год кроме лета. Так что желаю себе в следующем году больше уделять времени здоровью.

Поздравляю всех с новым годом и желаю не болеть и творческих успехов в следующем году!

Как же тяжело "лежать в сторону Burp Suite", когда не занимался багбаунти 1.5 месяца. Отпуски и выходные прошли здорово, но садиться вечером смотреть сервисы я разучилась.

Все-таки в любом деле главное привычка и распорядок. Если привык заниматься раз в неделю по пятницам-субботам, то лучше его не прерывать такими долгими выходными.

"Опять работа, заг-заг"

По нашему с Анатолием Ивановым aka c0rv4x мастер-классу "Начинаем в багбаунти: какие базовые знания нужны, чтобы находить уязвимости" была написана статья.

https://habr.com/ru/companies/pt/articles/878360/

27 февраля будет VK Security Confab, посвященный багбаунти. Буду на нем читать доклад "Проклятие дубликатов: как выжить в багбаунти и не потерять мотивацию".

Хочу порассуждать как я для себя решаю эту проблему.
* Как уменьшить количество дубликатов и больше принятых отчетов
* Как не переставать искать и где нужно вовремя остановится

Думаю каждый, кто когда-либо получал пачку дубликатов сталкивался с проблемой и задумывался стоит ли там дальше искать.

Приходите)
https://team.vk.company/confab/

А вот и все расписание

Презентация "Проклятие дубликатов: как выжить в багбаунти и не потерять мотивацию" с VK Security Confab.

Больше всего вопросов возникло по моим начинаниям автоматизации. Буду продолжать наращивать и экспериментировать сколько она будет находить принятых багов в багбаунти.

Всем доброго вечера.

Выложили в открытый доступ мой доклад по тестированию "дана страница авторизации, что делать будем, как выкручиваться?". Пройдем путь программиста Васи (все совпадения случайны), которому надо внести изменения в аутентификацию. Доклад ориентирован на новичков.

#видеозаписи

Известно, что аутентификация, авторизация и идентификация — понятия разные, хоть и взаимосвязанные. А вот какие проблемы присущи этим понятиям?

#БезопаснаяСреда открывает запись доклада об этом.

YouTube | VK Видео

Скачать презентацию с сайта SafeCode

Всем привет.
У VK bugbounty появился личный кабинет багхантера
Теперь можно в одном месте посмотреть процент увеличения выплаты следующего отчета, а не искать следующий комментарий

Текущий % Bounty Pass: 8.

Было интересно
* Как быстро обновится процент после принятого отчета - задержек не замечено.
* Нет ли возможности подшаманить процент через ЛК - не обнаружено

Что еще не хватает?
VK за разные активности назначают промокоды: награждение, принятый, но не оплаченный отчет, на конференциях. Было бы здорово, если бы они так же отображались в личном кабинете.

Начала использовать навыки с работы в багбаунти и писать автоматизацию.

В качестве системы управления уязвимостями используется defectdodjo.
Структура следующая: group -> вендор, project -> бб программа, engagement -> сканер.
Через pipeline_schedules задается багбаунти программа и все ее настройки: логин/пароль тестовой учетки, скоуп, нужно ли сканировать поддомены и тд.

Запуск по cron -> Сбор данных ->DAST -> defectdodjo -> нотификация о новых срабатываниях в телеграм.

Процесс протестирован на текущем Bugs Zone 4. Еще очень много надо сделать, чтобы жать кнопку "богатства", но пользу уже приносит.

Факторы влияющие для меня на то, стоит ли багхантить в программе
* Скорость ответа
* Адекватность
* Честность
* Размер вознаграждения

Первый пункт помогает быстрее понять остальные и ответить на вопрос "а стоит ли тратить время?" Я обычно закидываю 1-2 отчета и жду. Если взаимодействие с программой было успешным и адекватным, то продолжать стоит. Но некоторые 2 месяца отчет в дубликат переводят после напоминаний раз в месяц. Триаж бывает очень долгий, причем у программ у которых 2-5 отчетов за квартал. Для багхантера же черный ящик процессов - отчет за месяц остался со статусом "Новый".

Забить | Напоминать каждые 2 недели | Скидывать мемы о том как ты ждешь?

Мне лично не нужно быстро получить вознаграждение (готова и пол года ждать, такое уже было), но знать, что над отчетом ведется работа, его не забыли - важно. Без знания, что не будет проблем и споров - продолжать искать, кажется, не стоит.

Менять статус с "Новый" или хотя бы писать "Отчет взяли в работу" - важно и полезно.
#bugbounty

Всем привет.
Была на выходных в Иннополисе и вела разборы заданий Т-банк CTF прошлых лет.

Формат:
Было 3 разных задания и в 15, 17 и 19 часов мы вместе с участниками рассуждали и решали задания прошлых лет. Доступа к основным заданиям у меня не было и не подсказывала(не надо ставить красную карточку). В каждом заложено несколько проблем безопасности, которые встречаются на проде и можно найти в багбаунти. Было продемонстрировано сразу 2 подхода: тестирование белым и черным ящиком. Рассуждали как не допустить каждую уязвимость и как ее исправить. Аудитория была разбирающаяся - думала будем Burp устанавливать и все с 0 рассказывать, а ребята сами отвечали. Большие молодцы.

По итогу скажу, что впечатления странные. С одной стороны идея - хорошая, с другой очень мало уж людей было на разборах (от 2-8). Я благодарна всем кто пришел, рассуждать вместе было здорово. Но мне кажется такой движ надо делать только в онлайне в следующий раз.

Про Иннополис: создалось впечатление, что он еще более пустой чем был в 2014 году. Вот в сериалах/фильмах про зомбиапакалипсис бывают сцены, где герой просыпается и никого на улицах. Если встретятся в баре/кафе/магазине/на улице пару человек - уже успех. Где студенты поющие Цоя и Киша, катающиеся на великах, выгуливающие собак, дети на детской площадке? В такой тишине и отсутствии людей не была давно и возможно никогда.