Рубрика «bug bounty»

Привет. Я Александр, мне 33. Хакинг у меня хобби, а не работа: CTF, Hack The Box, иногда багбаунти по выходным. И каждый раз одно и то же.

Открываешь тулзу — первым делом —help. Флагов экран, все на английском. Сидишь, вычитываешь, что тебе сейчас нужно. Собрал один флаг, переключился на второй — а как пишется первый, уже забыл. Снова —help. И по новой. На сборку одной команды уходит больше времени, чем на саму работу.

Команду собрал. А дальше? nmap отработал, передо мной открытые порты — и я завис. За что хвататься? В каком порядке? Это знание у каждого где-то в голове, и достаёшь его каждый раз заново.

Читать полностью »

Give a man a gun and he can rob a bank. Give a man a bank and he can rob the world.

Предыстория

Занимаясь bug bounty, я постоянно сталкивался с одной проблемой — существующие инструменты либо устарели, либо закрытые, либо написаны так что добавить свой плагин целый квест. Nikto последний раз серьёзно обновлялся много лет назад, а современных асинхронных альтернатив на Python практически нет.

Так появился WebScan — асинхронный CLI-сканер безопасности на чистом Python с модульной архитектурой. За неделю с момента релиза проект получил внешних контрибьюторов и вырос до 15 плагинов.

Что умеет CLI-сканер

Читать полностью »

Что такое bug bounty вообще?

Истоки уходят в 1995 год — Netscape первой предложила денежные награды внешним исследователям за найденные уязвимости в Netscape Navigator 2.0. Индустрия пришла к простой мысли: дешевле платить тем, кто находит баги, чем потом расхлёбывать инциденты. Так появилась модель, а вместе с ней — платформы-посредники: HackerOne (2012), Bugcrowd, Synack. Они дали стандартизацию процессов, юридическую защиту исследователей (safe harbor), эскроу-механизмы, медиацию и репутационные системы.

Модель сработала. На ней построены программы Google, Microsoft, Apple, на ней же в 2016 году Министерство обороны США запустило «Hack the Pentagon»Читать полностью »

Привет!

Не так давно я влился в компанию «белых хакеров», и несмотря на то, что считаю себя в данной области «новичком» — за определённый период всё же почерпнул некоторый опыт, которым хочу поделиться с другими новичками, и, возможно получить какую‑то рецензию от «бывалых» на свою статью (кстати сказать — тоже первую).

Мое «поле»:

Платформа Bug Bounty:

Standoff365 (АО «Позитив Текнолоджиз»)

Выбранный объект исследования:

Читать полностью »

Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git - 1

TL;DR: я построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.

Читать полностью »

В 2024 году мы опубликовали блог-пост We Hacked Google A.I. for $50,000, в котором рассказали, как в 2023 году мы отправились в Лас-Вегас вместе с Джозефом «rez0» Тэкером, Джастином «Rhynorater» Гарднером и мной, Рони «Lupin» Карта, в настоящее путешествие по взлому, которое прошло от Лас-Вегаса через Токио до Франции – всё ради поиска уязвимостей в Gemini на мероприятии Google LLM bugSWAT. И, что вы думаете? Мы сделали это снова …

Читать полностью »

Как мы взломали цепочку поставок и получили 50 тысяч долларов - 1


В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой исследователи безопасности находят уязвимости и сообщают о них, получая за это вознаграждение. Однако я ещё не достиг уровня, позволившего бы мне быстро обнаруживать критические уязвимости цели. Этот уровень умений казался мне недостижимым. Но всё поменялось, когда я познакомился с человеком, ставшим ключевой фигурой в моей карьере баг-баунти: Snorlhax.

Поначалу я видел в нём конкурента. Он был намного выше меня во французской таблице лидеров HackerOne, что стимулировало меня расти над собой. Мы начали общаться в Discord, и спустя несколько недель я рассказал ему о многообещающей программе баг-баунти. Вскоре после этого он обнаружил у этой цели критическую уязвимость, оценённую в 10000 долларов — сумму вдвое больше, чем максимальная полученная мной от этой же цели. Мотивировавшись этим, я вернулся к этой же цели и за ту же неделю нашёл собственную критическую уязвимость за 10000 долларов в другом классе багов.

Вместо того, чтобы продолжать состязаться, мы решили сотрудничать. Теперь нашей задачей стало выявление у этой цели всех возможных классов багов: IDOR, SQL-инъекций, XSS, багов OAuth, Dependency Confusion, SSRF, RCE и так далее. Все их мы нашли, сообщили компании и написали отчёты. Это сотрудничество длилось несколько лет, и даже сегодня мы время от времени снова возвращаемся к этой цели.

Однако недостижимой оставалась одна задача: обнаружение «чудовищной уязвимости». Это должен быть настолько критичный баг, что нам выплатят нестандартное вознаграждение, намного превышающее обычные выплаты. Это стало для нас главной целью.

В посте я расскажу, как мы со Snorlhax наконец-то этого добились.Читать полностью »

Последние несколько лет я являюсь клиентом Т-Банка (в девичестве Тинькофф Банк) и использую их Android-приложение, наверное, каждый день. В декабре я обновил его из Huawei AppGallery, и что-то изменилось в моём пользовательском опыте… Мне стало казаться, что меня стали как-то слишком редко спрашивать отпечаток или PIN после запуска приложения тапом по иконке или по уведомлению. Так произошло раз, два, пять, и я невольно обратил на это внимание. А поскольку моя работа связана с информационной безопасностью, я решил немедленно настучать на плохое поведение разработчикам, Читать полностью »

I в LLM означает Intelligence - 1


Я уже давно ничего не писал об ИИ или том, как мы (не) используем его для разработки в нашем проекте curl. Больше откладывать нельзя. Хочу продемонстрировать вам наиболее значительный эффект, который ИИ может оказать на curl сегодня, подкрепив его примерами.Читать полностью »

Меня зовут Алексей Гришин, я руководитель направления Bug Bounty VK. За 9 лет участия в программе по поиску уязвимостей на различных платформах мы накопили огромный опыт получения, проверки и оплаты самых разношерстных отчётов, поэтому в этой статье я хочу поделиться советами о том, как правильно написать отчёт, чтобы его оплатили, и рассказать, что делать, если ваши ожидания по выплатам не совпали с реальностью. Добро пожаловать под кат.

Читать полностью »

https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js