Три правила для начинающего багхантера от Рамазана aka r0hack:

🔤 Если хочешь искать баги, не обойтись без знания сетей и хотя бы основ программирования.
🔤 Всегда практикуйся параллельно с изучением теории.
🔤 Если ты ломаешь и тебе это не нравится, возможно, это не твое.

Еще больше мудрости для новичков (и не только) от одного из лучших исследователей безопасности на нашей багбаунти-платформе Standoff 365 ищите в интервью на YouTube.

👑 «Когда ты взломаешь что-то в первый раз, ты не король, это лишь начало. Главное в этот момент — не зазвездиться», — говорит Паша aka Black Rabbit из команды Codeby Pentest, которая взяла первое место на кибербитве Standoff уже в пятый (!) раз.

Записали с ним подробное видеоинтервью. Смотри, чтобы узнать:

•‎ Что такое «детский» и «взрослый» хакинг
•‎ Почему тем, кто решил вкатываться в сферу ИБ сейчас, особенно повезло
•‎ Зачем нужна purple team и что это вообще такое
•‎ Какой минимальный проходной балл нужен, чтобы стать хорошим пентестером, и на какие жертвы приходится идти, чтобы его заработать
•‎ Почему эти самые пентестеры выбирают не носить черные шляпы

Ищи подробности на нашем YouTube-канале.

🤩 В конце ноября топовые багхантеры и две компании — VK и «Тинькофф» — собрались в Москве на Standoff Hacks ради одной цели: проверить защищенность сервисов. Белые хакеры получили вознаграждения за найденные уязвимости и в целом круто провели время.

🆕 Обе компании уже принимали участие в наших priv8-ивентах, но решили повторить успех и принесли:

•‎ сервис для выбора лучших локаций для бизнеса «ГеоКурсор» (VK)

•‎ картографический сервис VK Карты

•‎ сервисы Mail.ru (Почта, Облако и Календарь) с увеличенными вдвое выплатами

•‎ приложение Тинькофф Инвестиции (за найденные в нем уязвимости багхантеры могли получить выплаты в шесть раз больше, чем в рамках публичной программы)

😑 Исследователи рассказали, что на этот раз скоуп был сложнее, но гораздо интереснее. О том, что отметили представители компаний и чего ждать от Standoff Hacks в следующем году, — смотрите в полной версии видео на нашем YouTube-канале.

✖️ Заработай двойное баунти от Rambler&Co

С сегодняшнего дня медиахолдинг удваивает вознаграждение за все уязвимости критического и высокого уровней в своей багбаунти-программе.

Новые размеры максимальной стоимости багов:

💰критический уровень опасности — до 300 000 ₽
💰высокий уровень опасности — до 100 000 ₽

Программа Rambler&Co доступна по ссылке — что делать дальше, ты знаешь. Удачи!

🚀 Сегодня Standoff 365 выходит на международный уровень и первой среди аналогичных российских площадок начинает выплачивать вознаграждения исследователям не только в России, но и за ее пределами!

Мы сможем осуществлять выплаты в удобной для иностранных багхантеров валюте. Для этого напишите нам в специальный бот. Пока это работает в тестовом режиме, и мы отлаживаем процесс.

💬 «Standoff 365 с самого начала задумывалась как площадка, которая сможет привлечь исследователей со всего мира. Мы уже получали отчеты из-за рубежа, но оплатить их до сих пор не могли. Теперь это стало возможным», — рассказал Анатолий Иванов, руководитель направления багбаунти Standoff 365.

⚡️ Добро пожаловать на нашу платформу! Искать уязвимости более чем в 50 программах и получать баунти в любой точке мира можно здесь: https://bugbounty.standoff365.com/

🆕 Новая. Краткосрочная. Твоя.

Московская область запустила собственную багбаунти-программу на Standoff 365 (между прочим, пока единственная из всех регионов страны на нашей платформе!).

С 12 по 29 декабря у тебя есть шанс стать одним из первых исследователей портала государственных и муниципальных услуг uslugi.mosreg.ru и заработать до 150 000 ₽ за найденный баг.

Участвовать могут граждане России старше 18 лет. Правила и программа — по ссылке. Вперед!

🆕 Запускаем новую багбаунти-программу!

Что:
облачный межсетевой экран уровня веб-приложений PT Cloud Application Firewall

Где:
на Standoff 365 Bug Bounty

Когда:
с 20 декабря 2023 года по 20 января 2024 года

Продукт PT Cloud Application Firewall распространяется по ежемесячной подписке через технологических партнеров — авторизованных сервисных и облачных провайдеров.

По условиям программы, все зарегистрированные на платформе исследователи смогут, используя метод черного ящика, искать уязвимости в ресурсах, которые находятся на домене .ptcloud.ru.

Максимальное вознаграждение за найденные баги: 500 тысяч рублей. А тому, кто первым сдаст критическую уязвимость — мы подарим ящик нашего фирменного пива Блэк Хет.

⚡️ Начать искать баги

Итоги багбаунти-программы будут подведены 29 января 2024 года

✨Люди каждый день проверяют все на прочность: мир, себя, нервную систему окружающих… Если присмотреться, возникнет подозрение, что багбаунти реально повсюду. Правда, не каждая такая проверка заканчивается вознаграждением.

Но нам хочется, чтобы ты, когда решишь багхантить, пришел на Standoff 365. Ведь для нас ты — особенный , именно твоих баг-репортов мы каждый раз ждем с нетерпением и всегда радуемся, когда ты получаешь свое баунти.

Ты — 🔥. Давай проведем наступающий год вместе!

С любовью, команда Standoff 365 ❤️

📺 «Ирония судьбы» с вечно теряющимся между Москвой и Питером главным героем, «Один дома» с отважно защищающим свой дом Кевином и «Назад в будущее» «Иван Васильевич меняет профессию» с машиной времени вошли в топ-3 новогодних фильмов.

Мы подумали, не со всем согласились и решили провести собственный опрос среди багхантеров (надо же что-то делать на каникулах!).

Советуйте в комментах:

👀 Что посмотреть (интересный ютуб-канал, кино или сериальчик).

📖 Что почитать и послушать (любимые обычные и аудиокниги, подкасты).

🍽 Что съесть (не едиными оливье и селедкой под шубой жив человек).

🤔 Чем еще заняться (вдруг где-то проходит что-то крутое, а большинство собравшихся не в курсе).

😏 На OZON можно покупать, продавать или багхантить и получать до 250 000 ₽ за уязвимость — выбирай сам.

Маркетплейс открыл собственную багбаунти-программу на Standoff 365, так что готовь свои лапки ручки-загребучки, ищи баги и забирай себе баунти!

Скоуп такой:
• основной сайт ozon.ru;
• служба аутентификации и SSO id.ozon.ru;
• сайт с вакансиями job.ozon.ru и его API job-api.ozon.ru;
• кабинет продавца seller.ozon.ru;
• Ozon Банк finance.ozon.ru и его мобильное приложение;
• мобильные приложения для продавцов и покупателей.

Больше про условия программы — по ссылке.

🔠🔠🔠🔠 Ростовская область открыла свою багбаунти-программу на Standoff 365.

С 29 декабря 2023-го по 13 февраля 2024 года ты можешь заняться поиском уязвимостей в геоинформационной системе Ростовской области (ГИС РО): https://gisro.donland.ru/

ГИС РО была создана как единый источник данных об объектах, расположенных на территории области, и связанных с ними событиях.

Отчеты принимаются от граждан России старше 18 лет. Подробности программы — по ссылке, что делать дальше — ты знаешь.

😃 Одна программа багбаунти хорошо, а сразу две — лучше!

Сегодня Positive Technologies начинает тестирование сразу двух своих продуктов:

№ 1
PT Network Attack Discovery — система поведенческого анализа сетевого трафика (network traffic analysis, NTA). Это инструмент для расследований, который обнаруживает вредоносную активность злоумышленников на периметре и внутри сети, в том числе в зашифрованном трафике.

Где искать баги: 185.71.53.245:5556

№ 2
PT Sandbox — передовая песочница, защищающая компанию от целевых и массовых атак с применением вредоносного ПО.

Где искать баги: 185.71.53.245:5555

Сколько платят:
До 1 млн рублей за уязвимость критического уровня

Когда:
С 29 декабря 2023 года по 29 января 2024-го

⚡️ Начать искать баги
https://bugbounty.standoff365.com/vendors/ptsecurity

🌟 Новый год наступит через 3, 2, 1…

И пока вы пьете пивас шампанское, заедая его оливье, желаем каждому гигантских баунти, больше сданных критов, новых крутых вендоров на Standoff 365, интересных скоупов и смешных мемов.

А мы тем временем, почти как новогодние Деды, приготовили отличные подарки для 25 лидеров рейтингов киберполигона и Standoff 365 Bug Bounty. Вручим после 20 января, так что ищите баги и ломайте полигон на каникулах, чтобы попасть в список тех, кто вел себя хорошо в этом году (20 января в 23:59 снимем скорборд).

Оставайтесь багхантить с нами. С праздником!

Команда Standoff 365 🌟