А сегодня смотрим блиц с Юрой circuit Ряднина.

Итак, вопросы те же:

🔗 Kill Chain или низко висящие фрукты?
🏖 Отдых на ивенте для багхантеров или поиск багов?
🤫 Приватка или паблик?
👾 Самая первая бага и самая большая выплата?

а вот ответы… 👀 вас, возможно, удивят.

PS: кстати, а как вам выпуск подкаста с багхантерами? Уже успели посмотреть? Если нет, то впереди выходные – запасайтесь попкорном и го смотреть 🍿

📱 VK Видео | 📱YouTube | 📺 RUTUBE

#bugbounty

🔹Багхантеры, вы тут?!

У нас для вас отличная новость: 💙 VK Видео увеличивает выплаты за уязвимости в 2️⃣ раза!

🔹 Когда: 28 февраля – 28 марта

🔹 И не забывайте про плюшки от Bounty Pass Forever:

🔵до +5% бонусов за баги

🔵уникальный мерч за 4+ оплачиваемых отчета до конца марта

Ждем ваши отчеты на платформах Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru!

@VK Security

#bugbounty #bountypass #forever

У BugBounty-платформы HackerOne утечка всех ее пользователей, включая пароли доступа к платформе 🔠 Так что, если вы пользователь этой платформы, то впору сменить свои реквизиты доступа к системе 🤒

Кстати, как вы думаете 🤔, что можно сделать, если узнать ваш пароль доступа к BugBounty-платформе? Узнать сумму ваших вознаграждения? Получить доступ ко всем вашим отчетам? Вывести все средства на подставные счета? 🤒 Что-то еще?

#утечка #bugbounty

🖥 Вы просили — мы открыли!

Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.

Делимся инсайтами авторов🔹

circuit:

«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».

cutoffurmind:

«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».

kedr:

«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».

🔹 Поддерживаем мнение авторов — что может быть более вдохновляющим, чем чужой репорт?

🔹Поэтому не собираемся на этом заканчивать, следите за обновлениями — в будущем вас ждут новые дисклозы.

🔹 Надеемся, что опубликованные отчеты натолкнут вас на новые поиски — ждем ваши отчеты в программу VK Bug Bounty!

И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.

VK Security

#bugbounty #bountypass #reports

🔹 Продолжаем разбирать отчёты VK Bug Bounty — теперь с комментариями эксперта в прямом эфире!

Этой весной мы начали делиться репортами VK Bug Bounty — идея получила отклик, поэтому мы решили развить этот формат и организовали вебинар.

Первый эфир провёл старший эксперт VK Bug Bounty Алексей Лямкин.

Обсудили XSS, HTML-инъекции, SSRF и даже редкий кейс с получением HttpOnly cookie.

У участников вебинара была возможность задать вопросы напрямую — не пропустите следующий эфир, чтобы тоже поучаствовать в обсуждении!

🔹 Смотреть запись вебинара

🔹 Посмотреть отчёты:
🔹Standoff Bug Bounty
🔹BI.ZONE Bug Bounty

VK Security | Буст этому каналу!

#bugbounty #bountypass #reports