Розыгрыш 9 билетов на афтепати Bugs Zone 6
Всем привет, 7 ноября в Москве пройдет афтепати Bugs Zone 6.
Что будет:
* Доклады - некоторые бывают не под запись
* Возможность пообщаться с вендорами, другими багхантерамии обсудить секретики
* Мерч
* Пиво
Что для этого нужно сделать:
* Быть багхантером - иметь хотя бы 1 оплаченный отчет на любой из площадок или self hosted программ.
* Написать в этот тред любой забавный или странный момент из опыта багхантинга, какой-нибудь необычный баг или способ багхантинга, что-то чем хотелось бы поделится
Например - мои истории:
* Я переодически сдаю лоу-медиум баги - html injection в теле письма, просматривая спам-маркетинговые рассылки на багхантерских почтах.
* Один из первых простых багов за который бы мне заплатили деньги я не сдала и только потом узнала, что сдать было можно.
* Сломала данные своего банка и не получала зарплату 1 неделю (там было кривая дедубликация).
* Нашла race condition и списала за 1 товар 6 раз (а хотелось наоборот) и месяц воевала с саппортом, чтобы деньги вернули (и до сих пор пытаюсь вернуть).
Подробнее про мероприятие тут https://t.iss.one/bizone_bb/578
Итоги будут 1 ноября.
Всем привет, 7 ноября в Москве пройдет афтепати Bugs Zone 6.
Что будет:
* Доклады - некоторые бывают не под запись
* Возможность пообщаться с вендорами, другими багхантерами
* Мерч
* Пиво
Что для этого нужно сделать:
* Быть багхантером - иметь хотя бы 1 оплаченный отчет на любой из площадок или self hosted программ.
* Написать в этот тред любой забавный или странный момент из опыта багхантинга, какой-нибудь необычный баг или способ багхантинга, что-то чем хотелось бы поделится
Например - мои истории:
* Я переодически сдаю лоу-медиум баги - html injection в теле письма, просматривая спам-маркетинговые рассылки на багхантерских почтах.
* Один из первых простых багов за который бы мне заплатили деньги я не сдала и только потом узнала, что сдать было можно.
* Сломала данные своего банка и не получала зарплату 1 неделю (там было кривая дедубликация).
* Нашла race condition и списала за 1 товар 6 раз (а хотелось наоборот) и месяц воевала с саппортом, чтобы деньги вернули (и до сих пор пытаюсь вернуть).
Подробнее про мероприятие тут https://t.iss.one/bizone_bb/578
Итоги будут 1 ноября.
Telegram
BI.ZONE Bug Bounty
🪲 BUGS ZONE 6.0: встречаемся 7 ноября!
Готовим наш любимый приватный ивент: хантинг в закрытом скоупе, наш фирменный мерч, церемония награждения и афтепати — все, как мы любим :)
Приглашения скоро отправим багхантерам с лучшими результатами в этом сезоне.…
Готовим наш любимый приватный ивент: хантинг в закрытом скоупе, наш фирменный мерч, церемония награждения и афтепати — все, как мы любим :)
Приглашения скоро отправим багхантерам с лучшими результатами в этом сезоне.…
🔥12❤5🤩2😁1🐳1
Вот и закончился Bugs 6.
В этот раз было 4 вендора с широким скоупом - было что выбрать потестировать. Вендорам спасибо за рыбу - выплаты и мерч, команде bi.zone bugbounty большая благодарность за приглашение и организацию этого мероприятия, победителям поздравления.
Первый раз смогла доехать на очную часть. Очень была рада со всеми увидится. Было здорово.
Ждем bugs 7 в следующем году.
В этот раз было 4 вендора с широким скоупом - было что выбрать потестировать. Вендорам спасибо за рыбу - выплаты и мерч, команде bi.zone bugbounty большая благодарность за приглашение и организацию этого мероприятия, победителям поздравления.
Первый раз смогла доехать на очную часть. Очень была рада со всеми увидится. Было здорово.
Ждем bugs 7 в следующем году.
🔥25❤7
8ug8ear
Всем привет. Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов. Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки…
Heisenbug_Broken_access_control_через_уязвимости_бизнес_логики.pdf
6.8 MB
Презентация и чек-лист с Heisenbug 2025 - "Broken access control через уязвимости бизнес-логики"
В недавно опубликованном OWASP Top Ten 2025 Broken access control все еще занимает первое место. Среди моих багов, принятых в багбаунти, наверное половина на этот тип уязвимости.
Начинающим багхантерам, QA и тем кто еще только думает припасть к ИБ на заметку.
https://github.com/VasilyevaAn/bac-business-logic-checklist
В недавно опубликованном OWASP Top Ten 2025 Broken access control все еще занимает первое место. Среди моих багов, принятых в багбаунти, наверное половина на этот тип уязвимости.
Начинающим багхантерам, QA и тем кто еще только думает припасть к ИБ на заметку.
https://github.com/VasilyevaAn/bac-business-logic-checklist
👍18🔥10❤5
На Bugs 6 вела свою игру по мемам из багбаунти.
Презентацию прикладываю. Мой любимым мем - почему CTF-феры не занимаются багбаунти?
Каждому багхантеру по жуку.
Презентацию прикладываю. Мой любимым мем - почему CTF-феры не занимаются багбаунти?
Каждому багхантеру по жуку.
🔥16❤10😁3
Говорить на языке бизнеса в багбаунти
Я долго удивлялась почему мне иногда так занижают уязвимости. Я научилась демонстрировать импакт, а не сдавать просто XSS с алертом. Пишу видео демонстрации, стараюсь быть понятной, собираю цепочки проблем, но все еще чего-то не хватает. Чего же?
Сообщество и внутренний голос говорили, что просто не надо работать смудаками не зрелыми программами, но кажется, что такой взгляд слишком поверхностный и проблема глубже.
В этом году получила через BAC чужие балансы и истории операций в системе. Там были особенности, которые позволяли запрашивать по своей компании, а получать чужие данные. Я выгрузила данные 2х компаний за 12 лет с тратами 30 млн. Заплатили за это после фикса 10к с комментариями, что юристы сказали, что никакого нарушения тут не происходит так как нет идентификации клиента. Данные о фирмах можно получить публично в этой системе, по другими данным это можно увидеть. И казалось, что стоило добавить эту информацию в отчет, но мне она казалась очевидной и поэтому я не стала при написании отчета это показывать. Оспорить выплату не получилось. Похожая история, когда заплатили за IDOR с критичным импактом как за лоу багу, потому что это "IDOR не интересная проблема".
Посмотрев эту дискуссию, поняла, что среднестатистический CISO не заплатит за просто IDOR, XSS и тд как за крит. Но бизнес умеет хорошо считать деньги.
Попробовала действовать по другому. Завела отчет, где показала, что не просто получила фичу бесплатно "вот так". Продемонстрировала сколько стоит эта фича по тарифам системы, что это главная фича для работы аккаунта, что вот такие и такие настройки приватности она нарушает. И мне заплатили по нижней границе "крита", хотя я завела отчет как "высокий", т е гораздо выше чем я рассчитывала. Тот же самый вендор, что очень сильно снижал критичность ранее.
Реализация каких рисков крично для компании? На вскидку скажу, что никто не хочет нарваться на штраф, потерять прибыль от сервиса, получить простой сервиса с долгим восстановлением, получить кражу аккаунтов пользователей.
Далеко не все баги и стоимость убытков при реализации можно подсчитать, а сделать это снаружи в рамках багбаунти кажется задачей не реальной. Сколько стоит 1 час простоя главного сервиса? А какого-нибудь низкоуровнего, который денег не приносит? Но держать в голове и в отчете реализацию рисков, смотреть на баг в рамках вектора атаки - точно стоит. Деньги бизнес сам посчитает, если ему на это указать и понятно описать.
Какие тут стоит сделать выводы? Нужно говорить не только на языке технарей, сдавая крутой poc, но и на языке бизнеса, потому что именно он решает в конечном счете сколько стоит баг.
Я долго удивлялась почему мне иногда так занижают уязвимости. Я научилась демонстрировать импакт, а не сдавать просто XSS с алертом. Пишу видео демонстрации, стараюсь быть понятной, собираю цепочки проблем, но все еще чего-то не хватает. Чего же?
Сообщество и внутренний голос говорили, что просто не надо работать с
В этом году получила через BAC чужие балансы и истории операций в системе. Там были особенности, которые позволяли запрашивать по своей компании, а получать чужие данные. Я выгрузила данные 2х компаний за 12 лет с тратами 30 млн. Заплатили за это после фикса 10к с комментариями, что юристы сказали, что никакого нарушения тут не происходит так как нет идентификации клиента. Данные о фирмах можно получить публично в этой системе, по другими данным это можно увидеть. И казалось, что стоило добавить эту информацию в отчет, но мне она казалась очевидной и поэтому я не стала при написании отчета это показывать. Оспорить выплату не получилось. Похожая история, когда заплатили за IDOR с критичным импактом как за лоу багу, потому что это "IDOR не интересная проблема".
Посмотрев эту дискуссию, поняла, что среднестатистический CISO не заплатит за просто IDOR, XSS и тд как за крит. Но бизнес умеет хорошо считать деньги.
Попробовала действовать по другому. Завела отчет, где показала, что не просто получила фичу бесплатно "вот так". Продемонстрировала сколько стоит эта фича по тарифам системы, что это главная фича для работы аккаунта, что вот такие и такие настройки приватности она нарушает. И мне заплатили по нижней границе "крита", хотя я завела отчет как "высокий", т е гораздо выше чем я рассчитывала. Тот же самый вендор, что очень сильно снижал критичность ранее.
Реализация каких рисков крично для компании? На вскидку скажу, что никто не хочет нарваться на штраф, потерять прибыль от сервиса, получить простой сервиса с долгим восстановлением, получить кражу аккаунтов пользователей.
Далеко не все баги и стоимость убытков при реализации можно подсчитать, а сделать это снаружи в рамках багбаунти кажется задачей не реальной. Сколько стоит 1 час простоя главного сервиса? А какого-нибудь низкоуровнего, который денег не приносит? Но держать в голове и в отчете реализацию рисков, смотреть на баг в рамках вектора атаки - точно стоит. Деньги бизнес сам посчитает, если ему на это указать и понятно описать.
Какие тут стоит сделать выводы? Нужно говорить не только на языке технарей, сдавая крутой poc, но и на языке бизнеса, потому что именно он решает в конечном счете сколько стоит баг.
❤23🔥9
Иногда сложно снаружи оценить влияние бага на бизнес
В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной.
Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу).
Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием.
Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.
В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной.
Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу).
Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием.
Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.
😁6👍3👏1
Чек-листы безопасности для QA
На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.
Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.
Что-то возможно пора обновить, но пусть будет ссылками.
* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug
На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.
Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.
Что-то возможно пора обновить, но пусть будет ссылками.
* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug
GitHub
GitHub - VasilyevaAn/bac-business-logic-checklist
Contribute to VasilyevaAn/bac-business-logic-checklist development by creating an account on GitHub.
🔥29🤩2
Итоги готового багхантинга
Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.
Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty
Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.
Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).
Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.
В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.
Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.
Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.
Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty
Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.
Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).
Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.
В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.
Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.
🔥34👍6🤩3❤🔥2🎉2