Новая программа багбаунти от Минцифры 👍
Исследуйте защищенность портала «Госвеб» — единой платформы официальных государственных сайтов. С ее помощью госорганы и бюджетные учреждения могут создавать унифицированные сайты, которые позволят объединить более 150 тысяч разрозненных страниц.
Скоуп для багхантинга:
• 109.207.1.46
• 213.59.253.39
• *.gosweb.gosuslugi.ru
Максимальное вознаграждение за найденные уязвимости — до 500 тысяч рублей!
Сделать электронное правительство безопаснее и заработать можно тут: https://bugbounty.standoff365.com/vendors/digital-gov/
Исследуйте защищенность портала «Госвеб» — единой платформы официальных государственных сайтов. С ее помощью госорганы и бюджетные учреждения могут создавать унифицированные сайты, которые позволят объединить более 150 тысяч разрозненных страниц.
Скоуп для багхантинга:
• 109.207.1.46
• 213.59.253.39
• *.gosweb.gosuslugi.ru
Максимальное вознаграждение за найденные уязвимости — до 500 тысяч рублей!
Сделать электронное правительство безопаснее и заработать можно тут: https://bugbounty.standoff365.com/vendors/digital-gov/
Please open Telegram to view this post
VIEW IN TELEGRAM
Наши доказательства? Пожалуйста! Виктор Зварыкин (aka VeeZy) в своей статье на Хабре рассказал про реализацию самого красивого (по его мнению) критически опасного события на полигоне.
И как рассказал! Будто это не просто «Оплата товаров по QR-кодам за счет украденных средств» (7 500 баллов, между прочим), а детективный роман.
В статье — взлом новостного портала, путешествие в страну Kubernetes, вывод денег с клиентских счетов и другие увлекательные приключения.
Читай по ссылке и признавайся в комментариях, какое событие на киберполигоне считаешь самым красивым или интересным.
Please open Telegram to view this post
VIEW IN TELEGRAM
На митапе для профи Standoff Talks Анатолий Иванов, руководитель багбаунти Standoff 365, рассказал, как обнаружить необычное поведение в веб-приложении и сконвертировать его в уязвимость.
Предложенный фреймворк поможет сделать это в четыре шага.
Читай и делись с друзьями!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🛷 Готовь сани летом, а майский Standoff Hacks — зимой
«Не рановато ли для анонса Hacks, если он только 21 мая?» — спросишь ты. А мы ответим: «Не рановато!»
Тем более что вместе с ним мы принесли конкурс, победив в котором можно забить себе место на нашем priv8-ивенте.
Условия простые: найди самые дорогие баги в программах вендоров Bug Bounty Standoff 365 с 29 февраля по 19 апреля и получи приглашение на Standoff Hacks.
Разыгрываем 11 инвайтов:
1️⃣ Про эти два уже писали раньше, и они все еще не нашли своих владельцев.
2️⃣ Еще один — за самый дорогой баг по одной из этих четырех программ: Standoff 365, PT Cloud, Positive dream hunting, Positive bug hunting.
3️⃣ Оставшиеся восемь — для тех, кто сдаст отчеты по самым дорогим уязвимостям этим вендорам:
• «Азбука вкуса»
• VK
• Wildberries
• Rambler&Co
• «Тинькофф»
• Новая перевозочная компания
• Минцифры
• Ozon
Самые успешные уже получили от нас инвайт, теперь твоя очередь. Удачи! Увидимся в мае 😉
«Не рановато ли для анонса Hacks, если он только 21 мая?» — спросишь ты. А мы ответим: «Не рановато!»
Тем более что вместе с ним мы принесли конкурс, победив в котором можно забить себе место на нашем priv8-ивенте.
Условия простые: найди самые дорогие баги в программах вендоров Bug Bounty Standoff 365 с 29 февраля по 19 апреля и получи приглашение на Standoff Hacks.
Разыгрываем 11 инвайтов:
• «Азбука вкуса»
• VK
• Wildberries
• Rambler&Co
• «Тинькофф»
• Новая перевозочная компания
• Минцифры
• Ozon
Самые успешные уже получили от нас инвайт, теперь твоя очередь. Удачи! Увидимся в мае 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
👕 Целая гора мерча Standoff 365 ждет победителей!
Хотим напомнить, что в феврале мы запустили конкурс для исследователей безопасности нашего киберполигона. Но так как нам очень хочется раздать максимальное количество призов, мы решили продлить его до 13 марта.
Предварительные итоги: пока только трем участникам удалось реализовать по три критических события из десяти, входящих в скоуп. При этом целых пять критических событий пока не поддались никому.
Подробные условия — в нашем предыдущем посте. Однако есть небольшой апдейт: если до 13 марта ни один из участников не сможет реализовать все события, мы все равно раздадим призы. Но чем больше событий вам поддастся — тем больше вы получите 😉
Чтобы почувствовать себя Скруджем Макдаком в горе нашего мерча, отправляйтесь на киберполигон и испытайте его на прочность!
Хотим напомнить, что в феврале мы запустили конкурс для исследователей безопасности нашего киберполигона. Но так как нам очень хочется раздать максимальное количество призов, мы решили продлить его до 13 марта.
Предварительные итоги: пока только трем участникам удалось реализовать по три критических события из десяти, входящих в скоуп. При этом целых пять критических событий пока не поддались никому.
Подробные условия — в нашем предыдущем посте. Однако есть небольшой апдейт: если до 13 марта ни один из участников не сможет реализовать все события, мы все равно раздадим призы. Но чем больше событий вам поддастся — тем больше вы получите 😉
Чтобы почувствовать себя Скруджем Макдаком в горе нашего мерча, отправляйтесь на киберполигон и испытайте его на прочность!
This media is not supported in your browser
VIEW IN TELEGRAM
Рассказываем и показываем в новом выпуске подкаста «КиберДуршлаг». Там же — несколько примеров интересных отчетов и много полезного о поиске багов не только на работе, но и в реальной жизни.
Освобождайте часик и смотрите полный выпуск на YouTube-канале Positive Events.
Please open Telegram to view this post
VIEW IN TELEGRAM
Пока ты ждешь, отчетом занимается команда экспертов PT Expert Security Center (PT ESC), которые на Standoff 12 выступали в роли арбитров. За четыре неполных дня эти героические люди зафиксировали 20,5 тысяч инцидентов, проверили более 200 отчетов от «красных» и около 450 — от «синих».
Читай в статье на Хабре про внутреннюю кухню PT ESC — подготовку к битве, мониторинг, верификацию отчетов сразу несколькими решениями Positive Technologies — и про забавные случаи с прошлого Standoff.
Не забудь поставить 👍 в знак уважения команде глобального SOC (им точно будет приятно).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥 Розыгрыш инвайтов на Standoff Hacks продолжается!
Напомним, всего их — 11. Три по программам Positive Technologies и восемь по программам вендоров. По ним нужно сдать самый дорогой баг — подробности ищите в этом посте.
🗓 Конкурс продлится до 19 апреля — так что у вас еще есть шанс стать участником нашего priv8-ивента.
Сегодня есть уже четыре явных лидера. Они сдали самые дорогие баги по программам от:
1. Минцифры — на 200 000 рублей.
2. VK — на 90 000 рублей (на самом деле, самый дорогой с 29 февраля — 2,4 млн рублей, но сдавший его участник уже успел получить инвайт).
3. Тинькофф — на 87 800 рублей.
4. Positive Technologies (Positive bug hunting) — на 10 000 рублей.
Обращаем внимание, что лидеры по двум продуктовым программам Positive Technologies (PT NAD и PT Sandbox) все еще не определены.
Всего 40(!) отчетов находятся на рассмотрении:
• Минцифры — 11.
• VK — 9.
• Тинькофф — 7.
• Wildberries — 6.
• Азбука вкуса — 4.
• Новая перевозочная компания — 2.
• Rambler&Co — 1.
Будем делиться предварительными результатами в следующих постах — попадет ли в них ваш принятый отчет? 😉
Ищите баги, зарабатывайте и входите priv8-клуб. Удачи! ☘️
Напомним, всего их — 11. Три по программам Positive Technologies и восемь по программам вендоров. По ним нужно сдать самый дорогой баг — подробности ищите в этом посте.
🗓 Конкурс продлится до 19 апреля — так что у вас еще есть шанс стать участником нашего priv8-ивента.
Сегодня есть уже четыре явных лидера. Они сдали самые дорогие баги по программам от:
1. Минцифры — на 200 000 рублей.
2. VK — на 90 000 рублей (на самом деле, самый дорогой с 29 февраля — 2,4 млн рублей, но сдавший его участник уже успел получить инвайт).
3. Тинькофф — на 87 800 рублей.
4. Positive Technologies (Positive bug hunting) — на 10 000 рублей.
Обращаем внимание, что лидеры по двум продуктовым программам Positive Technologies (PT NAD и PT Sandbox) все еще не определены.
Всего 40(!) отчетов находятся на рассмотрении:
• Минцифры — 11.
• VK — 9.
• Тинькофф — 7.
• Wildberries — 6.
• Азбука вкуса — 4.
• Новая перевозочная компания — 2.
• Rambler&Co — 1.
Будем делиться предварительными результатами в следующих постах — попадет ли в них ваш принятый отчет? 😉
Ищите баги, зарабатывайте и входите priv8-клуб. Удачи! ☘️
Конкурс завершился, а мерч остался! 👕
Мы не оставляем попыток найти тех, кому поддадутся до сих пор не реализованные никем события на онлайн-полигоне, и ищем новые способы мотивации исследователей безопасности.
И, конечно же, не забываем наградить тех, кого обещали.
Итоги конкурса
🐬 Flipper Zero достается исследователю, реализовавшему наибольшее количество событий (3) из условий конкурса и получившему за них наибольшее количество баллов, — VeeZy.
🎒 Участникам rudnic и GorillaHacker, которые были чуть менее результативными, но также реализовали 3 события, набрав меньшее число баллов, дарим рюкзак, дженгу, футболки, дождевик, полотенце и наш фирменный напиток.
👔 Футболка, носки, блокнот и стикерпак достанутся остальным участникам конкурса: CSV, artebels, wiiz4rd, Bagley, pwned, z3ro, nu11z, 0ur0b0R0S, S4ar, cotsom, dragom, yelnurx, crypt0b0y, 3eVeHbIu, rtnvv, null3d.
А теперь про попытки найти тех, кому удастся реализовать оставшиеся события:
https://range.standoff365.com/battle/5/risk/420/
https://range.standoff365.com/battle/5/risk/227/
https://range.standoff365.com/battle/5/risk/220/
https://range.standoff365.com/battle/5/risk/207/
https://range.standoff365.com/battle/5/risk/419/
Бессрочно: первый реализовавший каждое из этих событий получит ценный подарок.
По призам, как обычно, свяжемся. Если останутся вопросы, пишите @kaleksey_pt.
Мы не оставляем попыток найти тех, кому поддадутся до сих пор не реализованные никем события на онлайн-полигоне, и ищем новые способы мотивации исследователей безопасности.
И, конечно же, не забываем наградить тех, кого обещали.
Итоги конкурса
🐬 Flipper Zero достается исследователю, реализовавшему наибольшее количество событий (3) из условий конкурса и получившему за них наибольшее количество баллов, — VeeZy.
🎒 Участникам rudnic и GorillaHacker, которые были чуть менее результативными, но также реализовали 3 события, набрав меньшее число баллов, дарим рюкзак, дженгу, футболки, дождевик, полотенце и наш фирменный напиток.
👔 Футболка, носки, блокнот и стикерпак достанутся остальным участникам конкурса: CSV, artebels, wiiz4rd, Bagley, pwned, z3ro, nu11z, 0ur0b0R0S, S4ar, cotsom, dragom, yelnurx, crypt0b0y, 3eVeHbIu, rtnvv, null3d.
А теперь про попытки найти тех, кому удастся реализовать оставшиеся события:
https://range.standoff365.com/battle/5/risk/420/
https://range.standoff365.com/battle/5/risk/227/
https://range.standoff365.com/battle/5/risk/220/
https://range.standoff365.com/battle/5/risk/207/
https://range.standoff365.com/battle/5/risk/419/
Бессрочно: первый реализовавший каждое из этих событий получит ценный подарок.
По призам, как обычно, свяжемся. Если останутся вопросы, пишите @kaleksey_pt.
🤫 Принесли новость только для тех, кто в очках, своих: с 20 марта мы открываем для красных команд отборочные соревнования на кибербитву Standoff 13. Напомним, она пройдет 22–25 мая во время киберфестиваля PHDays 2.
Почему говорим заранее? Ну, например, чтобы ты успел изучить условия, собрать свою команду и к старту был готов к чему угодно. Отбор продлится до 10 апреля.
Вся нужная информация — на сайте. А 20 марта в 17:00 мы проведем встречу в онлайне, на которой расскажем обо всем еще подробнее, так что приходи, задавай вопросы и готовься идти на медаль 🏅
P. S. Респект всем, кто нашел наш сайт раньше, чем мы о нём написали. Кажется, понятно, кого точно нужно брать в команду 😉
Почему говорим заранее? Ну, например, чтобы ты успел изучить условия, собрать свою команду и к старту был готов к чему угодно. Отбор продлится до 10 апреля.
Вся нужная информация — на сайте. А 20 марта в 17:00 мы проведем встречу в онлайне, на которой расскажем обо всем еще подробнее, так что приходи, задавай вопросы и готовься идти на медаль 🏅
P. S. Респект всем, кто нашел наш сайт раньше, чем мы о нём написали. Кажется, понятно, кого точно нужно брать в команду 😉
🎉 Билеты на киберфестиваль Positive Hack Days 2 уже в продаже!
• Вы можете самостоятельно выбрать цену для покупки билета в закрытую зону PHDays. Все деньги от продаж будут направлены в благотворительный фонд «Подари жизнь».
• Минимальная сумма — 1000 рублей. Количество билетов ограничено.
• Будет и открытая часть киберфестиваля — ее можно будет посетить бесплатно всем желающим.
Купить билет можно на сайте PHDays 🎫
Кстати, для команд кибербитвы Standoff 13 посещение закрытой части тоже бесплатно. Успейте собрать команду и подать заявку на участие начиная с 20 марта на сайте .
Встретимся с 23 по 26 мая в московских «Лужниках»!
• Вы можете самостоятельно выбрать цену для покупки билета в закрытую зону PHDays. Все деньги от продаж будут направлены в благотворительный фонд «Подари жизнь».
• Минимальная сумма — 1000 рублей. Количество билетов ограничено.
• Будет и открытая часть киберфестиваля — ее можно будет посетить бесплатно всем желающим.
Купить билет можно на сайте PHDays 🎫
Встретимся с 23 по 26 мая в московских «Лужниках»!
Набирай в команду не больше 10 человек
Не забудь про сегодняшнюю онлайн-встречу, где можно будет задать вопросы об отборочных. Регистрируйся заранее, начинаем в 17:00.
Удачи 🍀
Please open Telegram to view this post
VIEW IN TELEGRAM
Standoff365
STANDOFF 13 | Главная кибербитва, которую нельзя пропустить!
22–25 мая 2024 Москва, «Лужники»
Да-да, тебе не показалось, с сегодняшнего дня максимальное баунти за найденный баг увеличилось в 2,5 раза — с 400 000 ₽ до 1 млн ₽.
Другие вознаграждения по программе тоже подросли:
High — 150 000 ₽ ➡️ 400 000 ₽
Medium — 35 000 ₽ ➡️ 50 000 ₽
Low — 7 500 ₽ ➡️ 10 000 ₽
Успей найти все баги, пока тебя не опередили. Искать — здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследуй защищенность:
• MaxPatrol SIEM — системы управления инцидентами ИБ.
• MaxPatrol VM — системы управления уязвимостями.
И зарабатывай до 1 млн рублей за обнаруженные недостатки!
Оба продукта — лидеры в своих нишах на российском рынке кибербезопасности, ими пользуются сотни компаний.
Узнать все подробности и начать искать уязвимости можно здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM