🤔 Ни за что не догадаешься, что мы тебе принесли

Несколько откровений от Анатолия Иванова, руководителя Standoff Bug Bounty. Целиком их можно послушать в коротком интервью для CISOCLUB, а если пока не можешь смотреть, читай все самое важное.

🐱 Багхантерам

Чтобы быть в тренде, круто не только уметь искать уязвимости в вебе. Тренируйтесь выстраивать цепочки атак с использованием социальной инженерии и развитием во внутренней сети.

👍 Заказчикам

Для белых хакеров наиболее важны несколько вещей: величина вознаграждения (из двух похожих программ выберут ту, где баунти побольше), новые области исследования и еще никем не тронутые скоупы (любопытство и желание быть первооткрывателем никто не отменял).

🐞 Всем интересующимся

У Standoff есть собственная программа багбаунти (с баунти до 1 000 000 ₽, между прочим!). И мы не стесняемся сказать, что один из исследователей нашел в ней критически опасный баг. Мы выплатили вознаграждение в 450 000 ₽, устранили уязвимость в рекордные два часа и провели ретро, чтобы убедиться, что ее больше ни разу не эксплуатировали.

Ты так и знал, что это очередной полезный видос? Ставь ❤️, если да, и смотри его полностью.

👋 I’ll be back: «Консоль.Про» возвращается на Standoff Bug Bounty

Ребята исправили процесс работы с уязвимостями в своей программе, теперь твоя очередь багхантить. Максимальное баунти — 360 000 ₽.

«Консоль.Про» автоматизирует работу бизнеса с внештатниками, помогает сократить издержки и снизить риски для нанимателей и самозанятых.

Основной скоуп такой:

🔸 app.konsol.pro
🔸 api.konsol.pro

А полный смотри в обновленной программе «Консоль.Про» на нашей платформе.

✨ Привет! Пришли напомнить, что ровно через сутки, то есть завтра в 17:00, ждем тебя на нашем стриме для начинающих багхантеров.

Олег Уланов aka brain из топ-10 багхантеров Standoff Bug Bounty и Анатолий Иванов aka c0rv4x, руководитель платформы и опытный белый хакер, расскажут все, что нужно знать про поиск уязвимостей, связанных с межсайтовой подделкой запроса (server-side request forgery, SSRF).

Ребята поделятся теорией и тут же применят ее на практике (чтобы ты и сам мог попробовать после стрима).

До завтра! Регистрируйся заранее и не опаздывай!

1️⃣ Всего через час стартует наш онлайн-урок стрим для багхантеров, которые ищут свои первые уязвимости.

Главный герой эфира — баг типа server-side request forgery (SSRF). Олег Уланов aka brain из топ-10 белых хакеров Standoff Bug Bounty, и Анатолий Иванов aka c0rv4x, руководитель платформы, расскажут и покажут, как его найти и обезвредить зарепортить.

⏺ Присоединяйся по ссылке.

👉 Стрим начался, залетайте по ссылке

🔥 Багхантеры заработали 6 млн рублей по программе VK Bounty Pass!

А это значит, что исследователей безопасности ждут новые события на Standoff Bug Bounty.

И вот какие:

📱 Максимальное баунти по программе RuStore увеличено до 3,6 млн рублей. Теперь у VK три программы с таким максимальным вознаграждением за критически опасные уязвимости.

🔤🔤🔤 Теперь VK оплачивает XSS во всех программах, где максимальное вознаграждение за уязвимость 360 тысяч рублей (полный список).

До завершения VK Bounty Pass #1: Progress осталось меньше месяца. Традиционно напоминаем, что тот тигр, кто суммарно больше всех заработает по этой программе на нашей платформе, получит в подарок поездку на конференцию HITBSecConf2024 в Бангкок.

Багхантим? Вперед: https://bugbounty.standoff365.com/vendors/vk/

📹 Принесли вам взгляд на багхантинг со стороны заказчика на платформе Standoff Bug Bounty — компании Ozon

Первую свою программу ребята запустили в далеком 2020-м, а на нашу платформу вышли в конце прошлого года. У них есть лайфхаки и инсайты и для багхантеров, и для компаний, которые только собираются на багбаунти.

Тимофей Черных, руководитель отдела продуктовой безопасности Ozon, и его коллега Дмитрий Емельянов, руководитель команды безопасности приложений, рассказали:

• Зачем компаниям собственные багбаунти-программы и что нужно для их запуска
• Как встроить эти программы в процессы управления рисками и безопасной разработки
• Каким изначально был скоуп Ozon и как он менялся в процессе.
• Почему программа багбаунти может быть эффективнее пентестов (на примере Standoff Hacks, во время которого багхантеры сдали Ozon шесть критов)
• Как правильно репортить и работать с отчетами

И это далеко не все, что уместилось в почти десятиминутное интервью.

▶️ Посмотрите его целиком, чтобы узнать больше, а также загляните на нашу платформу и подробнее изучите условия программы Ozon (недавно в ней расширили скоуп, сумма выплаченных баунти приближается к 5 млн ₽!).

🆕 Новая программа на Standoff Bug Bounty

Уязвимости показываете? Еще и оплачиваем. Один из крупнейших стриминговых сервисов Okko запустил собственную багбаунти программу.

Скоуп — большой, и вот лишь некоторая часть:

*.okko.sport
*.okko.tv
*.playfamily.ru
*.tvgateway.ru

Максимальные выплаты за критически опасные уязвимости — 400 тысяч рублей. Сдай одну и получи возможность оплатить подписку Okko на 167 лет 😉

Сделать просмотр фильмов, сериалов и стримов безопаснее без регистрации и смс: https://bugbounty.standoff365.com/programs/okko

Переживаем за их отношения больше, чем за свои 🤕

🎊 Июль начался не только с жары, но и с горячих обновлений Standoff 365

Как пишут в магазинах приложений, мы все улучшили, оптимизировали и ускорили. Но самые заметные новинки появились на Standoff Bug Bounty. Делимся подробностями.

💬 Настройка уведомлений

В профиле появилась возможность отписываться от событий в системе, чтобы тебя не заваливало уведомлениями. Можно настроить их отдельно для программы или отчета.

📄 Дефолтный шаблон отчета

Поможет, если ты сдаешь свои первые баги и хочешь, чтобы компания быстрее приняла отчет и назначила вознаграждение. Мы не ограничиваем тебя шаблоном, но рекомендуем его использовать — так точно будет удобнее.

📎 Расширение лимита файлов

Теперь к отчету можно прикреплять вложения размером до 512 мегабайт. Хочешь показать компании видео с пруфами обнаруженного бага — показывай.

Заходи на Standoff Bug Bounty прямо сейчас, чтобы найти пару-тройку багов, а заодно потестить новые фичи.

🚲 Как научиться багхантить? Почти как ездить на велосипеде. Получаешь пинок от бати пару полезных советов и мчишься как ураган.

И путь этот не такой долгий, как может показаться. Как его пройти, показываем и рассказываем на нашей новой карте навыков для начинающего охотника за багами — Bug Bounty: Getting Started.

🆕 Всего навыков 15, каждую неделю мы будем публиковать по три новых блока, чтобы у тебя было время изучить информацию и попрактиковаться.

3️⃣ Что в первых трех? Все подробности и полезные материалы — по ссылке.

Материалами на неделю мы тебя загрузили, увидимся на следующем уроке в следующую среду и принесем продолжение.

🚨 Внимание, это не учебная тревога

Закрытое ИБ-сообщество Zaheq расширяет свою ламповую тусовку и ищет таланты свежую кровь.

Хочешь попасть на приватную пати с полусотней крутых специалистов? Пиши в личку @psych0tr1a, если у тебя есть, чем поделиться с матерыми исследователями и безопасниками. С тебя — доклад о неожиданных находках, рабочих лайфхаках или золотых техниках, с организаторов — слушатели-единомышленники, напитки и еда.

Как и всегда, точное время и место сбора остаются тайной, но не планируй ничего на последнюю неделю июля. Ивент только по прямым приглашениям или через доклад.

🦋 Уже забыли о конкурсе с горой мерча?

А вот VeeZy не забыл и буквально на днях успешно реализовал последнее событие, за которое можно было получить приз. Вот это: https://range.standoff365.com/battle/5/risk/227/.

Так что он теперь не только с ног до головы в мерче Standoff, но и может официально считаться главным спецом по банковскому сегменту среди пользователей онлайн-полигона. С чем мы его и поздравляем 🎉

Этот конкурс — все, ждите новые!

🍽 Отгадай, что мы для тебя приготовили

Нет, не бабулины пирожки и даже не курочку в кисло-сладком соусе. Главное блюдо дня — три новых блока на нашей карте навыков для начинающих багхантеров Bug Bounty: Getting Started.

В ней рассказываем, как почувствовать вкус профессии и начать находить свои первые баги.

🔭 Обещали открывать новые навыки по средам — открываем. Так что скорее смотри, что в меню сегодня.

🤑 Innostage увеличивает твой шанс заработать

Ребята по-прежнему дают 5 млн ₽ за вывод со счета компании символической суммы в 2000 рублей.

А для тех, кто пока не смог одолеть это недопустимое событие, добавили в свою багбаунти-программу вознаграждение за некоторые шаги по его реализации.

Выбирай, чем займешься:

1️⃣ Получишь 100 000 ₽ за компрометацию корпоративной учетной записи с закреплением на рабочей станции.

2️⃣ Заработаешь 200 000–300 000 ₽, преодолев сетевой периметр и закрепившись на узле в инфраструктуре (размер баунти зависит от типа узла, учетной записи или сегмента, в котором это удалось сделать).

3️⃣ Срубишь до 1 млн ₽ за получение доступа в систему учета финансов и создания платежных поручений под релевантной для недопустимого события или привилегированной учетной записью.

Все подробности про скоуп и условия — в программе.

😲 Вам доставка: Ozon удвоил максимальные выплаты на Standoff Bug Bounty.

Забираем и идем багхантить — теперь за один обнаруженный баг можно получить вознаграждение до 500 тысяч рублей.

И потратить его на:

• сумку Hermes
• 6250 дошиков
• пиво

🚗 Ozon-zon-zon: https://bugbounty.standoff365.com/programs/ozon/

Поздравляем, вы дошли до финального события VK Bounty Pass #1: Progress! 👍

Достигнув 80 lvl 10 млн рублей общих выплат за обнаруженные баги, VK повышает вознаграждение по всем своим программам на Standoff Bug Bounty. Без временных ограничений.

Например, по программе VK Cloud теперь вы можете заработать 2,4 млн рублей за обнаруженную уязвимость, VK Teams — 1,8 млн рублей, Дзена — 500 тысяч рублей. Ищите все обновления на нашей платформе.

Думаете это все? Впереди вас ждет второй сезон — VK Bounty Pass #2: Olymp. Подробностями скоро поделимся, но главное — ваш заработанный накопительный бонус сохраняется и переносится на следующий этап (подробнее о нем рассказывали в этом посте).

🏝 А еще у вас остается последняя возможность получить от нас в подарок поездку в Бангкок на конфу HITBSecConf2024, которая пройдет с 23 по 26 августа. Все, что нужно сделать, — до 21 июля заработать как можно больше в рамках VK Bounty Pass #1 на Standoff Bug Bounty. А мы — оплатим перелет, проживание и обеспечим проходку.

🏖 Разобрались, собрались и побежали искать баги, чтобы успеть почилить этим летом: https://bugbounty.standoff365.com/vendors/vk/.

🎴 Раскладываем карты для начинающих багхантеров

Наше специальные таро и внутреннее око говорит, что шесть нужных навыков ты уже освоил, на очереди новые три, недаром сегодня среда — по всем приметам хороший день, чтобы чему-нибудь научиться.

👁 Видим… Видим, еще немного — и ты найдешь свой первый баг, главное — прислушайся к советам нашей карты компетенций Bug Bounty: Getting Started.

Подробный расклад ищи по ссылке.