Рубрика «bug bounty» - 4

в 9:31, , рубрики: 50 баксов - это 50 баксов, bug bounty, hackerone, Блог компании Mail.Ru Group, информационная безопасность
Вознаграждаем за уязвимости четвёртый год подряд - 1

Специалисты в IT-безопасности, которые умеют находить уязвимости и эксплуатировать их, всегда стоят перед выбором — что, в итоге, с этими знаниями и умениями делать? И надо признать, что довольно большое количество таких специалистов выбирает путь ответственного раскрытия информации о найденных проблемах и уязвимостях. Именно с такими людьми компании должны уметь и хотеть взаимодействовать. Речь идет о Bug Bounty — объявляемых компаниями программах поиска уязвимостей в их продуктах и сервисах за денежное вознаграждение.
Читать полностью »

в 17:25, , рубрики: 1cloud, bug bounty, Блог компании 1cloud.ru, информационная безопасность

Создатель Ruby on Rails Давид Хейнемейер Ханссон (David Heinemeier Hansson) однажды написал статью под заголовком «В программах встречаются баги. Это нормально». За всю историю работы человека с ПО (и не только с ним) баги были неизбежным и порой дорогостоящим спутником новых и интересных решений.

В прошлом году только сбои программного обеспечения, зафиксированные в отчете Software Fail Watch, обошлись компаниям по всему миру в $1,7 трлн. Такие потери побуждают бизнес наращивать расходы на тестирование ПО. Компании нанимают штатных тестировщиков и все больше денег вкладывают в автоматизированные системы.

Есть и еще одно направление, на которое компании также не жалеют денег, — программы Bug Bounty. Крупные технологические корпорации — Apple, Facebook, Google — и даже правительственные организации выплачивают вознаграждения «белым хакерам» за поиск уязвимостей в ПО. Разберемся в истории этого явления.

Как зарабатывать на чужих ошибках: История Bug Bounty - 1Читать полностью »

в 8:00, , рубрики: bug bounty, Анализ и проектирование систем, безопасность, безопасность автотранспорта, беспилотные автомобили, Блог компании Яндекс, информационная безопасность, каршеринг, конкурсы разработчиков

Запущенный в феврале Яндекс.Драйв, как и любой сервис каршеринга, работает благодаря комплексу уникальных систем — в автомобиле, в телефоне пользователя и на сервере. Система, которая ещё недавно была в новинку для IT-сообщества, расположена в самой машине. Она включает в себя несколько девайсов — блок телематики, CAN-шину и мультимедийное оборудование. Подробнее о том, как всё это коммуницирует между собой, я и хочу вам рассказать. Кроме того, я объясню, почему именно сейчас компании и эксперты по безопасности должны уделять максимум внимания защите каршеринговых сервисов. Дело в том, что это не просто yet another приложения в вашем телефоне, а целая взлётная полоса для автомобильной индустрии завтрашнего дня.

Безопасный каршеринг: составляющие, основные проблемы и конкурс Яндекса - 1

Мы стремимся построить самую защищённую инфраструктуру для каршеринга, и рассчитываем, что вы тоже поучаствуете в этом процессе. До 27 мая у вас есть возможность изучить Яндекс.Драйв на предмет уязвимостей. Попробуйте изменить логику работы сервиса, снизить цену поездки, получить доступ к информации о пользователях или, например, открыть машину, когда сервис это запрещает.

Те, кто обнаружит самую серьезную проблему, получат от Яндекса полмиллиона рублей. Приз за второе место — 300 000 рублей, за третье — 200 000 рублей. О деталях я расскажу чуть ниже, а пока вернёмся к устройству каршеринга.
Читать полностью »

в 13:53, , рубрики: bug bounty, hacking, whitehat, Блог компании ВышТех, Учебный процесс в IT, этичный хакинг

Этичный хакинг: как заработать денег, а не проблемы с законом - 1

Поиск уязвимостей напоминает лотерею, в которой можно как сорвать джекпот с кругленькой суммой, так и потерять все, включая свободу. И это вопрос не везения, а четкого понимания границ этичного хакинга. Решили для вас разобрать на пальцах, как ковырять баги в чужих системах легально.
Читать полностью »

в 14:51, , рубрики: android, bug bounty, Google Play, Play Store, информационная безопасность, Софт, финансы

Google доплатит за взлом 13 приложений в Play Store - 1Google запустила на платформе HackerOne новую программу оплаты за найденные уязвимости Google Play Security Reward. Компания давно платит крупные суммы за уязвимости, найденные в её продуктах. Но впервые она решила заплатить за баги, найденные в чужих приложениях. Правда, сумма не слишком большая: всего $1000, но зато и уязвимости найти гораздо проще, чем в программах самой Google.

Оплачиваются баги в 13 популярных Android-приложениях, в том числе в пяти приложениях от российской компании Mail.Ru:

  • Alibaba (com.alibaba.aliexpresshd)
  • Dropbox (com.dropbox.android, com.dropbox.paper)
  • Duolingo (com.duolingo)
  • Headspace (com.getsomeheadspace.android)
  • Line (jp.naver.line.android)
  • Mail.Ru (ru.mail.cloud, ru.mail.auth.totp, ru.mail.mailapp, com.my.mail, ru.mail.calendar)
  • Snapchat (com.snapchat.android)
  • Tinder (com.tinder)

Со временем список может пополниться, сообщает Google, так что проверяйте его периодически.
Читать полностью »

в 20:15, , рубрики: bug bounty, mass assignment, privilege escalation, webasyst, информационная безопасность, уязвимость

Эта история о том, как я нашел уязвимость в фреймворке Webasyst и, в частности, в ecommerce-движке Shop-Script 7.

Как взломать более 17 000 сайтов за одну ночь - 1

Читать полностью »

в 6:14, , рубрики: android, bug bounty, miui, xiaomi, дыра, инфобез, информационная безопасность, история успеха, Тестирование IT-систем, Тестирование мобильных приложений

— У нас дыра в безопасности.
— Ну, хоть что-то у нас в безопасности.

— Айфоны, вон, каждый год ломают, и ничего.

Я нашел эту ошибку случайно. Уверен, что ни один тестировщик и не подумал бы пойти таким путем — это настолько не очевидно, дико и непредсказуемо, что только случайность помогла мне поучаствовать в bug bounty от Xiaomi. В этом посте расскажу о том, как мне это удалось, что за это было и почему китайские сервисы — зло.
Читать полностью »

в 13:25, , рубрики: bug bounty, CSTI, deface, deface что это, privatbank.ua, reflected xss, stored xss, template injection, xss, дефейс, информационная безопасность, кража cookies, Программирование, Разработка веб-сайтов, Тестирование IT-систем, Тестирование веб-сервисов, уязвимость, хранимая xss

Deface сайта можно сделать, если вы получили доступ к ftp, залили shell и тд, но также это можно сделать с помощью обычной XSS. В этой статье я хочу рассказать, как использовать Stored XSS для того, чтобы изменить содержимое главной страницы сайта или определенной страницы для того, чтобы массово воровать cookies у пользователей и делать редирект на свой сайт.

image Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи.

Итак, что такое deface (Википедия):

Deface (англ. deface — уродовать, искажать) — тип взлома сайта, при котором главная (или любая другая) страница веб-сайта заменяется на другую — как правило, вызывающего вида: реклама, предупреждение, угроза или шутка.
Зачастую доступ ко всему остальному сайту блокируется, или же прежнее содержимое сайта вовсе удаляется.

Читать полностью »

в 6:55, , рубрики: bug bounty, Git, github, взлом, информационная безопасность, реверс-инжиниринг

SQL инъекция в GitHub Enterprise - 1

Привет Хабр,

Ниже рассказ автора Orange Tsai о том, как он целенаправленно искал уязвимость в корпоративной версии GitHub и в итоге обнаружил возможность SQL инъекции. Тут, на хабре, ранее уже публиковался перевод другой его статьи "Как я взломал Facebook и обнаружил чужой бэкдор".
Читать полностью »

в 12:02, , рубрики: alexarank, bug bounty, drugvokrug.ru, fl.ru, iframe injection, ivi.ru, qiece, securityz, userecho, xss, баг баунти, информационная безопасность, платежные системы, ПриватБанк, Программирование, Разработка веб-сайтов, Тестирование веб-сервисов, уязвимость

Я независимый исследователь безопасности securityz.net, первое место в bug bounty ПриватБанка.

Решил пройтись по топу alexarank, начал искать уязвимости на gismeteo.ua (20 место). Произошел редирект на русскую версию (www.gismeteo.ru/soft/), обратил внимание на тех.поддержку.
Читать полностью »

1...345...6
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js