Forwarded from VK Security
Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.
Делимся инсайтами авторов
circuit:
«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».
cutoffurmind:
«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».
kedr:
«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».
И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.
VK Security
#bugbounty #bountypass #reports
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍1
Forwarded from VK Security
Этой весной мы начали делиться репортами VK Bug Bounty — идея получила отклик, поэтому мы решили развить этот формат и организовали вебинар.
Первый эфир провёл старший эксперт VK Bug Bounty Алексей Лямкин.
Обсудили XSS, HTML-инъекции, SSRF и даже редкий кейс с получением HttpOnly cookie.
У участников вебинара была возможность задать вопросы напрямую — не пропустите следующий эфир, чтобы тоже поучаствовать в обсуждении!
VK Security | Буст этому каналу!
#bugbounty #bountypass #reports
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🥱1