На киберфесте Positive Hack Days 2 впервые прошла студенческая кибербитва 😊

В ней, как и на взрослой битве, красные крушили онлайн-полигон, а синие расследовали атаки. Итогами мы с вами уже делились, а теперь хотим поделиться впечатлениями ребят, для которых это был первый подобный экспириенс.

😱 Например, команда с чудесным названием LaCringe из ДВФУ пробила периметр при помощи скрипта на отправку фишинговых сообщений — хороший пример реальной атаки, которая часто встречается в повседневной жизни.

🥷 Команда GC0D3S из СПб ГУАП реализовала критическое событие, используя внешний VPS с белым IP — это стандартная практика даже для взрослой кибербитвы Standoff.

😠 Ребята из Dump Rats (НИУ ВШЭ), которые раньше участвовали только в CTF, смогли найти вектор атаки, который мы изначально даже не закладывали в битву.

👆 А команда gone with the wind (КНИТУ-КАИ им. А. Н. Туполева, ПГУТИ) на второй день битвы смогла получить RCE на одном из серверов DMZ-зоны, преодолев сложности при работе с инфраструктурой.

Подробности ищите в нашем блоге на Хабре.

💡 А еще обещали, что вновь позовем студентов попробовать свои силы. И обещание держим: набор команд на студенческую кибербитву Standoff, которая станет финалом международных игр по кибербезопасности, все еще открыт — успей подать заявку на сайте.

Какие новости принес нам понедельничный вестник? Отличные! 🔥

Мы продлеваем прием заявок на международные игры по кибербезопасности до 20 сентября.

🔮 Кажется, это тот самый знак для тех, кто почему-то только сейчас заинтересовался играми, и для тех, у кого 20-е число — это счастливое число, и для тех, кто в понедельник начинает новую жизнь.

Оставляй заявку, не откладывай ◀️

🙂 Стоит ли участвовать в кибербитве Standoff? Ну, мы точно скажем, что да.

А если хочешь узнать мнение участников из синих и красных команд, подключайся к прямому эфиру AM Live 24 сентября в 11:00.

Бывалые защитники и атакующие расскажут, что дает им кибербитва, на какой стороне интереснее в ней участвовать, какие тактики, техники и инструменты обороны и нападения работают лучше всего (а какие — пора оставить в прошлом).

Мы активно готовимся к Standoff 14 и скоро поделимся всеми подробностями. Спойлер: защитников в этом году будет ждать больше челленджей от иностранных команд 🤫

💡 Лайфхак: если зарегаться по ссылке прямо сейчас, то точно ничего не пропустишь: перед началом эфира тебе пришлют напоминание.

➕ Еще один подкаст про багбаунти? Почему бы и да!

В пилотном эпизоде встретились представители нескольких багбаунти-площадок и чуть не подрались поспорили о настоящем и будущем российского багхантинга. Не будем показывать пальцем, но от нас там был Анатолий Иванов aka c0rv4x.

Бонусом — забавный блиц-опрос c Толей, который мы прикрутили к посту.

Смотри и слушай подкаст целиком на любой удобной площадке:
📺 YouTube | 📺 Rutube | 📺 VK Видео

И ставь 🦄, если любишь багхантить!

Знаете, что такое упущенная возможность? 😵😵😵

Это когда всё планировал подать заявку, даже сохранил пост себе в «Избранное», но в итоге пропустил дедлайн. И ощущается это как-то на 3 из 10. Зато воспользоваться возможностью ощущается на 10 из 10!

К чему это все? 🙂🙂🙂

К тому, что время, чтобы оставить заявку на участие в Международных играх, еще есть. Переходи на сайт мероприятия, чтобы схватить удачу за хвост и бустануть свою карьеру.

Зарегистрироваться можно до 20 сентября, включая утро, день и вечер, но не позднее. Потом возможность превратится в тыкву (осень же).

✨ Хочешь получить доступ к приватным программам на платформе Standoff Bug Bounty?

Конечно хочешь. Вот короткая инструкция, что делать:

1️⃣ Перейди по ссылке и заполни небольшой опрос.

2️⃣ Попади в список из 50 счастливчиков с самыми классными навыками и опытом. Если пройдешь отбор, мы сразу же тебе напишем.

3️⃣ Ищи баги в свеженьком закрытом скоупе.

❗️ Важное условие: у тебя не должно быть ни одной приватной программы.

Еще читаешь? Бросай это дело — анкета сама себя не заполнит.

🔝 Можно ли быстро стать топовым багхантером?

Вообще, да. Бери пример с Олега Уланова aka brain, который за год ворвался в десятку сильнейших исследователей безопасности на Standoff Bug Bounty, а сейчас уже добрался до пятого места и останавливаться не собирается.

😏 Как не собирается и скрывать секреты своего успешного успеха. Вот, например, в статье на Хабре Олег рассказывает, как найти и зарепортить свою первую уязвимость с подделкой запросов на стороне сервера (SSRF).

Ты узнаешь, какие виды этого бага существуют, где и как его можно обнаружить и почему эту уязвимость стоит искать даже на статических сайтах.

▶️ Не хочешь читать — слушай запись стрима. А еще сложили в один плейлист видосы о других первых шагах в багхантинге, чтобы тебе не пришлось долго их искать.

Смотри, где удобно: 📺 YouTube | 📺 Rutube

🥑 Зеленые красные: кибербитва Standoff — это сложно.

💆‍♂️ Бывалые красные: да не то чтобы, главное во всем разобраться.

Чтобы помочь новичкам узнать, как выжить выиграть на кибербитве Standoff, Александра Антипина aka N3m351d4, капитан одной из лучших команд — Cult, составила исчерпывающий гайд для редтимеров.

🗺 Внутри — карта, которая поможет пройти увлекательное путешествие по устройству онлайн-полигона Standoff и узнать, как реализовывать недопустимые события и начать свой путь к званию сильнейшего белого хакера.

👑 Для самых внимательных в разделах гайда оставили 7 пасхалок, найдя которые можно получить королевскую ачивку на нашей платформе.

😠 Изучить гайд можно на нашем сайте. Сохраняйте в закладки и узнавайте все самое важное, что поможет вам успешно принять участие в кибербитве Standoff в 2025 году.

❕ Кроме того, более подробные разборы будут публиковаться на Хабре. Первый материал — уже опубликован в нашем блоге.

🤔 Вы багбаунтер?
🧠 Вы бигхантер?
😏 Вы багхантер?

Ответьте на этот вопрос тут 👉 https://habr.com/ru/specials/849390/

Мы хотим вместе с вами узнать, кто такие современные охотники за ошибками, как они стартовали в этой профессии и как выглядят их будни. Понять, какие есть сложности и как их можно решить. А еще как найти новых бойцов, чтобы пополнить наши ряды.

Этот опрос как для опытных ребят (как вы 🤩), так и для тех, кто вообще не знает что такое @bugbounty

😆 Объявляем победителей хакатона hackнутых сервисов!

Со 2 сентября по 17 октября все участники активно разрабатывали свои уязвимые тачки. За это время мы провели четыре встречи, где вместе обсуждали появляющиеся проблемы и успешно их преодолевали, двигаясь к финалу.

❤️ Благодарим каждого, кто решил попробовать свои силы, и называем лучших среди них:

🥇 Первое место: 5hm3l
🥈 Второе место: Esc@peFr0mL0gic
🥉 Третье место: Impulse

Всех победителей ждут призы, и уже скоро созданные ими сервисы появятся на нашей платформе, где их можно будет попробовать сломать протестировать.

Но это не конец! Если у тебя есть годная идея уязвимого сервиса, мы готовы поддержать ее выплатами. Следи за нашими постами, а если хочешь рассказать обо всем уже сейчас, пиши Карине.

4️⃣ Четвертый эпизод: новая надежда триаж уязвимостей

Мы про новый выпуск подкаста «Рынок уязвимостей» от Global Digital Space, в котором Даша Афанасова, руководитель отдела триажа Standoff Bug Bounty, и ее коллеги — Петр Уваров из VK Bug Bounty и Елизавета Дудко из Т-Банка — обсудили триажные вопросы и боли багхантеров.

Например, поговорили:

💛о валидации отчетов на платформах и у вендоров и об отношении к их раскрытию;
💛ценообразовании на сданные баги;
💛реальных возможностях избежать дубликатов и отказов;
💛бонусах для охотников за привидениями багами и их мотивации.

Хочешь узнать, что эксперты ответили на провокационный вопрос о нехватке на рынке багхантеров и отсутствии у них нужных навыков, смотри подкаст на любой удобной платформе.

📱 VK Видео | 📱YouTube | 📺 RUTUBE

😍 Đây là cơ hội của bạn để Đến Việt nam với Chúng tôi và tham gia Vào Standoff Hacks

Если ты не понял ничего, кроме Standoff Hacks, объясняем: следующий priv8-ивент для хакеров пройдет во Вьетнаме 30 ноября, и ты можешь полететь туда вместе с нами.

Как? Найди и сдай до 29 октября как можно больше багов по этим публичным программам:

• Positive Technologies (все программы)
• Standoff 365
• VK (все программы)
• Т-Банк
• Азбука вкуса
• Ozon
• Okko
• Wildberries
• Rambler&Co
• ATI.SU

2️⃣ Двоих багхантеров, которые с момента публикации поста наберут суммарно больше всего очков по этим программам, берем с собой в Ханой (за наш счет!). Трое топовых исследователей по очкам и выплатам уже в списке приглашенных, не хватает только тебя.

Будем подводить промежуточные итоги, чтобы ты видел результаты и оценивал шансы — свои и конкурентов.

Ну что? 3, 2, 1… го багхантить!

🙂 Больше подкастов богу подкастов

Сегодня — для синих команд и всех, кому интересно, что им может дать участие в нашей кибербитве Standoff.

В свеженьком AM Подкасте Елена Молчанова, лидер онлайн-полигона Standoff, Никита Каунов и Сергей Чернов, специалисты ФГУП «НПП „Гамма“», обсудили:

🔵Как собрать и подготовить к кибербитве команду защитников, а главное — объяснить руководству, зачем это нужно
🔵Что Standoff дает синим командам
🔵Какие рекомендации от бывалых пригодятся тем, кто собирается участвовать в первый раз

Как и всегда, предлагаем смотреть там, где тебе удобнее:
📺 YouTube | 📺 VK Video |📺 RUTUBE

Завершаются отборочные этапы осеннего сезона Международных игр по кибербезопасности!

А это значит, что участники более чем из 50 учебных заведений сразятся за звание победителя уже в конце октября (с 30 по 31). Спасибо всем, кто принял участие в отборе! Давайте оставаться на связи и вместе менять индустрию. Теперь немного про финал.

📊 В финале будут представлены 30 команд атакующих и 24 команды защитников. Интуиция и паучье чутье подсказывают, что нас ждут интересная борьба и зрелищный финал. А мы пока готовим призы и еще раз благодарим участников отбора, вы большие молодцы! Финалистам желаем удачи, да прибудет с вами киберсила.

Список команд, прошедших в финальный этап, ищите на сайте Международных игр 🫡

Если остались вопросы, пишите нашему комьюнити-менеджеру Карине.