Pull to refresh

«Яндекс» перезапустил программу вознаграждений «Охота за ошибками»

Information Security *Browsers Web services testing *IT-companies


9 июня 2021 года «Яндекс» объявил о перезапуске программы вознаграждений «Охота за ошибками». Компания увеличила выплаты до 750 тыс. рублей за уязвимость с удаленным выполнением кода, а также сделала условия для участников прозрачнее.

Так «Яндекс» решил мотивировать специалистов в области кибербезопасности искать новые уязвимости по двум направлениям — инфраструктура, веб-сервисы, и приложения, а также отдельно по "Яндекс.Браузеру". Причем подробно описанный выход из его песочницы оценивается в 370 тыс. рублей, а за базовое описание можно получить 220 тыс. рублей.
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 3K
Comments 6

«ВКонтакте» запускает программу BugBounty

Information Security *
Всем известная социальная сеть «ВКонтакте» объявила о запуске программы BugBounty. Среди сервисов, заявленных в условиях:
  • *.vk.com
  • login.vk.com
  • *.vk.me
  • *.vk-cdn.net
  • *.vkmessenger.com
  • *.vkontakte.ru
  • *.vk.cc
  • Официальные мобильные приложения VK

О каждой найденной уязвимости можно сообщить, используя платформу HackerOne.

Минимальная награда за найденную брешь составляет 100$. При этом необходимо быть внимательным — эксплуатация обнаруженной уязвимости против пользователей социальной сети может привести к полному отказу от выплаты награды за нее.
Total votes 30: ↑27 and ↓3 +24
Views 31K
Comments 17

Об охоте на «насекомых»: программа bug bounty в Одноклассниках

Одноклассники corporate blog Information Security *

Как известно, bug bounty — это программа вознаграждения за информацию о проблемах с безопасностью в продукте. С помощью вознаграждений разработчик стимулирует сообщать о найденных уязвимостях ему, а не продавать информацию на черном рынке, и выигрывает время на исправление проблемы прежде чем о ней станет известно широкой аудитории. Ведь чем более массовый и востребованный у вас продукт, тем больше найдётся желающих воспользоваться им в корыстных целях. Для социальных сетей наличие брешей в системе безопасности является крайне нежелательным, ведь это подрывает доверие пользователей. И если вы хотите, чтобы ваше творение жило долго и имело большую аудиторию, нужно уделять немало внимания поиску ошибок и своевременному исправлению.


Поэтому год назад Одноклассники также запустили такую программу. Меня зовут Александра Сватикова, и как специалист по информационной безопасности я расскажу о том, с чем мы столкнулись и чего нам удалось добиться за время проведения программы поиска уязвимостей.

Читать дальше →
Total votes 33: ↑31 and ↓2 +29
Views 10K
Comments 9

История маленького взлома, или адекватный багБаунти местного провайдера интернета

Information Security *
Sandbox

Введение


Доброго времени суток, друзья. Эта история небольшого взлома произошла со мной в середине августа этого 18-го года. Начиналась история в маленьком городе краснодарского края, с тырнетом плохо, есть 4g но это все не то, тут за городом можно было только мечтать о проводах. И вот недавно это чудо случилось, в мой район провели провода, и я сразу побежал подключать 100 мбит по оптоволокну, 8к за подключение с тарифом.

Любопытство


Радости полные штаны, тырнет хороший, провайдер небольшой местный, лк у него соответствует статусу местного провайдера, из любопытства ради я шарился по лк, смотрел какие поддомены есть, и нашел я поддомен admin.домен_провайдера.ru/ который сразу кидал на форму авторизации login.php, F12, открыл посмотрел что туда подгружалось, посмотрел js, там находились любопытные ссылки в ajax запросах "/?user_id=" + id, просто скопировав ссылку и вбив рандомное число, мне выкинули данные пользователя в таблице:

Серия/номер паспорта
Кем выдан
Дата выдачи
ФИО
адресс проживания
номер телефона
Логин(от тырнета)
Читать дальше →
Total votes 50: ↑48 and ↓2 +46
Views 24K
Comments 127

Интервью с багхантером Артёмом Московским. Он взломал Steam и получил самую крупную награду в истории Valve

Information Security *Interview


Артем Московский — багхантер, пентестер и безопасник которому сразу хочется задать стыдный вопрос «сколько ты зарабатываешь?» В прошлом году он получил самое большое вознаграждение в истории Valve — $20 тыс и $25 тысяч за две крупные уязвимости в Steam и еще $10 тыс за баги поменьше.

Мы переписывались несколько дней, и Артем рассказал, как начал заниматься своим делом, какие скиллы для этого нужны, и не тянет ли с таким талантом на темную сторону.
Читать дальше →
Total votes 53: ↑48 and ↓5 +43
Views 57K
Comments 21

Как я нашел баг, который раскрывал ваш пароль от PayPal

SkillFactory corporate blog Information Security *IT systems testing *Web services testing *
Translation

В охоте на проблемы безопасности погоня за неизведанными активами и скрытыми конечными точками часто заканчивается тем, что вы отвлекаетесь от очевидной, но по-прежнему важной функциональности.

Если вы подходите к цели, как будто вы — первый человек, который оценивает безопасность, то вы обязательно найдёте что-то новое. Особенно если код, который вы тестируете, всё ещё находится в разработке. Специально к старту нового потока курса «Этичный хакер», делимся с вами историей о серьёзном баге безопасности, который влияет, наверное, на самую посещаемую страницу PayPal: страницу с формой входа.

Читать далее
Total votes 23: ↑23 and ↓0 +23
Views 7.7K
Comments 2

Национальная BugBounty платформа или как мы запускали первую полноценно работающую площадку в СНГ

Information Security *

В данном посте мы расскажем как запустили пилот национальной BugBounty платформы в Казахстане, как из этого родился полноценный международный стартап и почему мы считаем это одной из самых успешных инициатив в области кибербезопасности в Казахстане. 

Читать далее
Total votes 6: ↑6 and ↓0 +6
Views 1.5K
Comments 0