🍿 Афиша Standoff Bug Bounty на сегодня: представляем премьеру публичной программы «Афиши»

В скоупе — два медиа и тикетинг-сервис:
*daily.afisha.ru
*eda.ru
*afisha.ru

🤔 Что-то знакомое? Да, правда, часть этого скоупа ты мог видеть у Rambler&Co. Но теперь у «Афиши» есть собственная программа багбаунти, что удобнее и для компании, и для исследователей.

А максимальное баунти по ней — 500 000 ₽ 🤑

Так что иди и смотри ищи баги. Все подробности рассказали на Standoff Bug Bounty.

🏆 Без лишних слов подводим итоги финала осеннего сезона Международных игр по кибербезопасности

Таблицу с именами всех победителей ищи на сайте игр. А совсем скоро, вместе с участниками, расскажем, как прошли соревнования и что интересного там было 😎

🌆 Как быстро растут проекты! Нашему онлайн-симулятору Standoff Cyberbones уже почти два месяца.

Если ты еще не пробовал расследовать собранные там самые интересные инциденты с кибербитвы Standoff — самое время начать. Тем более, что доступ для зареганных пользователей — бесплатный в любое время дня и ночи 🕗

Но сначала прочитай обзор Ильдара Садыкова, руководителя отдела развития экспертизы киберучений и менторства Positive Technologies.

Ильдар рассказывает, как устроен интерфейс Standoff Cyberbones и подробно с картинками разбирает некоторые задания: атомарные инциденты и критические события, которые красные команды смогли реализовать на наших кибербитвах.

🧁 Так что, если хочешь потренировать свои навыки защиты, держи рабочие шпаргалки по расследованию фишинговой атаки, добавления вредоносной нагрузки в виде файла wtf.exe и критических инцидентов при помощи инструментов Positive Technologies, встроенных в симулятор.

Все подробности — в статье, читай и залетай на Standoff Cyberbones.

🎖 А вот и победители конкурса инвайтов, которые пакуют чемоданы и отправляются с нами на Standoff Hacks в Ханой!

За 12 дней соревнования лидерами стали:

💪 Kevgen — 5650 очков.
😎 Leofun — 5200 очков.

В ближайшие две недели участникам нашей priv8-тусовки предстоит ломать эксклюзивный скоуп с огромными и моментальными выплатами за найденные уязвимости!

🧳 А 30 ноября мы отправимся в увлекательное путешествие во Вьетнам, где погрузимся в мир фо, обменяемся опытом и знаниями, а также выпьем [информация пока неизвестна] литров пива.

Если вы не попали на наш priv8-ивент в этом году, то уже можете качать свои скилы на следующий — он пройдет весной, и мы, как обычно, будем устраивать новые конкурсы и разыгрывать инвайты. Stay tuned 😏

Chúc Hacks đồng hành cùng bạn!

❓ Любой начинающий багхантер задается вопросами, как хакать, с чего начать поиск уязвимостей и какие из них вообще стоит искать?

К тем, кто еще не нашел на них ответы самостоятельно, всегда готовы прийти на помощь более опытные товарищи.

Например, bytehope (спасибо ему ❤️) написал статью на Хабр об одном из самых распространенных багов — некорректной настройке прав доступа, она же Broken Access Control.

Читай, чтобы узнать, что это за уязвимость, к чему может привести, откуда берется, а главное — как отловить четыре вида такого бага в лабах Web Security Academy.

Теория, практика, лайфхаки — там есть все. Научился сам, передай ссылку другому новичку.

👀 Каким будет Standoff 14

Мы продолжаем развивать нашу кибербитву не только в России, но и во всем мире, привлекая к участию команды из разных стран.

🥊 Главное в Standoff 14: о своем участии на стороне атакующих заявили 60 команд из 26 стран. На стороне защитников, которые будут расследовать атаки — 20 команд.

В этом году осенняя кибербитва пройдет полностью в онлайн-формате с 26 по 29 ноября.

Как обычно, красные будут крушить инфраструктуру виртуального Государства F. За четыре дня участники смогут круто прокачать навыки на реалистичных копиях ИТ-систем.

🎙 А еще мы организуем настоящую эфирную студию аналитики!

Каждый вечер вместе с легендами Standoff Павлом BlackRabbit Никитиным и Иваном BooL Булавиным мы будем подводить итоги прошедшего дня в неформальной атмосфере в рамках полуторачасовых стримов.

Все подробности — на сайте кибербитвы (там же можно поставить напоминалку о трансляциях).

🥇🥈🥉

А вот и финальные итоги Bounty pass#2: Olymp!

Призерами стали 26 багхантеров, включая двух уже ранее объявленных победителей.

Золото получили двенадцать олимпийцев, серебро — двое, бронзу — двенадцать. Посмотреть всех (и найти себя) можно в турнирной таблице.

Все багхантеры, взошедшие на олимп Bounty pass#2, получат:

🎁 уникальные наборы мерча от VK (в зависимости от завоеванной награды);

🎫 приглашение на новогоднюю вечеринку BB Advent Party (пройдет в Москве 19 декабря).

Шанс попасть на тусу VK еще есть. Все подробности — в этом посте.

🔍 Подробная карта событий Standoff 2024-2025

В этом году различного рода кибербитв стало настолько много, что участники соревнований начали путаться в их структуре и этапах. Поэтому мы подготовили краткий гид по ключевым мероприятиям 2024 года с пояснением того, как они взаимосвязаны. 😊

🟣Международные игры — это студенческая кибербитва, проходящая в два сезона (осенью и весной). Победители осеннего финала автоматически проходят на Standoff15 в мае, также часть участников проходит в весенний финал.

🟣Standoff 14 — ноябрьское классическое мероприятие, привлекающее иностранных участников. Оно получило международный статус, чтобы обеспечить более широкое участие команд. (В этом году нельзя участвовать странам из России и СНГ).


📌 С картой в хорошем качестве можно ознакомиться по ссылке:
Карта кибербитв Standoff 2024-2025

TaipanByte желает успехов всем участникам соревнований!🐍

Осталось чуть больше двух недель до подведения итогов рейтинга на Standoff 365 (тут должен звучать финальный саундтрек из твоей любимой игры 🎶)

В этом году выбираем лучших в двух категориях: среди тех, кто лучше ломал онлайн-полигон и был успешнее на багбаунти.

Ты можешь успеть улучшить свои позиции по любому из направлений до 23:59 мск 30 ноября.

1️⃣Каждый, кто окажется в топ-3, получит мерч Standoff 365 с уникальной айдентикой и девайс, который поможет отвлечься от работы и отдохнуть, где бы ты ни оказался.

2️⃣ Всем из топ-10 тоже достанется особенный мерч и девайс, помогающий не выпадать из работы в любом месте и ситуации.

3️⃣ Если ты в этом году не дотянешь до десятки, не расстраивайся: ребята из топ-25 также не уйдут без подарков.

Мы выдадим каждому из 50 лучших ачивку на портале и пригласим на тусовку в наш офис, где 13 декабря подведем итоги, устроим раздачу призов и афтепати в баре.

⏱ Мы все рассказали, теперь самое время ломать!

👻 Бу! Испугался? Не бойся, я Standoff Priv8 для Ozon

Мы проведем еще один закрытый онлайн-ивент, который начнется 2 декабря и продлится три недели: 25 топовых багхантеров получат доступ к приватному скоупу компании и возможность увеличить свои вознаграждения.

И ты можешь войти в их число!

Чтобы получить приглашение, тебе нужно с момента публикации поста и до 28 ноября найти как можно больше уязвимостей в публичном скоупе Ozon на Standoff Bug Bounty.

Приглашение уже получили 20 самых активных багханетров программы. Осталось всего пять мест!

Что ты от этого получишь

👁 Доступ к скоупу, который еще не исследовал ни один багхантер.

🐱 Возможность увеличить свои вознаграждения от Ozon на 20–50%.

💗 Сможешь стать частью закрытого комьюнити багхантеров компании.

Дочитал? А время уже пошло, ждем только твоих отчетов.

👀 Следи за яркими событиями международной кибербитвы в неформальной обстановке

На время кибербитвы Standoff 14, 26–29 ноября, мы создадим аналитическую студию Standoff Insider, которая будет работать ежедневно с 17:30 до 19:00 по московскому времени.

Что тебя ждет

😎 Крутые гости и технические эксперты: те, кто уже участвовал в кибербитве, кто ее создает, и неравнодушные к ней специалисты.

📊 Подведение итогов каждого дня, прогнозы на финал, прямое включение российских и иностранных команд.

🧐 Техническое погружение в отраслевые сегменты: банковский и IT-сектор, нефтегаз и энергетику. От тех, кто их разрабатывал, и с комментариями участников.

🎤 Все это будут вести легенды Standoff Павел BlackRabbit Никитин и Иван BooL Булавин. В гостях — Егор Богомолов, Сергей Зыбнев, Олег Иванов, Тимур Молдалиев и другие слоняры звезды.

Подробности — на сайте кибербитвы (там же будет и трансляция). Поставь напоминание, чтобы не пропустить ничего интересного!

💵 Как заработать больше к Новому году? Искать баги в программах VK

Тем более что по четырем из них баунти за криты нехило так подросло.

Смотри сам в формате «было» и «стало»:

GeekBrains 500 000 ₽ ➡️ 1 млн ₽
Оператор рекламных данных 500 000 ₽ ➡️ 1 млн ₽
Портал 1 млн ₽ ➡️ 1,8 млн ₽
Одноклассники 2,4 млн ₽ ➡️ 3,6 млн ₽

Время багхантить и получать все деньги мира от VK, чтобы потом устроить себе шикарные праздники. Удачи!

🚪 Хочешь приглашение на Standoff Priv8 для Ozon?

Если ты не получил его в числе 20 лучших багхантеров в публичной программе компании, у тебя есть еще четыре дня на поиск багов.

Сдавай отчеты до 28 ноября, а со 2 декабря на три недели получай доступ к приватному скоупу и баунти на 20–50% выше обычного.

🦋 Спойлер: в скоупе — веб-приложение, в котором около 2500 эндпоинтов, где до тебя еще НИКТО и НИКОГДА не багхантил.

Так что бросай все и ищи баги поторопись, чтобы попасть в число счастливчиков. Программа — по ссылке, что делать — ты знаешь.

😊 Международная кибербитва Standoff 14 началась!

С 26 по 29 ноября в ней будут сражаться сотни белых хакеров со всего мира. Победителей ждет призовой фонд на общую сумму 50 000 $.

В главных ролях:

🥷 48 команд атакующих из Бангладеш, Вьетнама, Египта, Индии, Индонезии, Казахстана, Кении, Китая, Малайзии, Нигерии, Пакистана, Польши, Португалии, Таиланда, Узбекистана, Филиппин, Франции, Эфиопии и Южной Африки.

🕵️ 14 команд защитников из Эфиопии, Индонезии, Малайзии, Вьетнама, Бангладеш и России.

В течение четырех дней им предстоит проверять защищенность четырех отраслевых сегментов и расследовать реализованные атаки. Мы сделали видеообзор каждой сферы:

• Нефтегазовая отрасль [смотреть видео]
• Энергетика [смотреть видео]
• Банковская система [смотреть видео]
• ИТ-отрасль [смотреть видео]

👀 Каждый вечер мы будем подводить промежуточные итоги кибербитвы в студии аналитики Standoff Insider — оставляйте напоминание о трансляциях на нашем сайте. Первый эфир состоится сегодня в 17:30 по московскому времени!

P. S. Если хочешь подробнее узнать, что происходит на Standoff 14, то специально для тебя мы создали wiki-страничку, благодаря которой следить за ходом битвы будет еще интереснее!

Да будет битва! ⚔️

⭐️ Ты этого ждал: Timeweb выходит на Standoff Bug Bounty

Timeweb — облачная платформа для бизнеса и частных лиц, позволяющая создавать, масштабировать и управлять IT-инфраструктурой по всему миру.

🪙 Максимальное баунти — 500 000 ₽.

В скоуп входят:

🟢облачная IT-инфраструктура — https://timeweb.cloud/
🟢shared-хостинг — https://timeweb.com/ru/
🟢почтовый сервис — https://mail.timeweb.com/
🟢конструктор сайтов — https://craftum.com/
🟢cервис рассылок — https://cheapsender.email/
🟢комьюнити — https://timeweb.com/ru/community/
🟢вебмастера — https://timeweb.com/ru/partners/webmasters/

Делай платформу безопаснее, получай вознаграждение и бонус от Standoff Bug Bounty: первый, кто сдаст подтвержденный крит по этой программе, получит проходку на следующий (который не во Вьетнаме) Standoff Hacks.

🔥 Подводим итоги первого дня международной кибербитвы Standoff 14

Виртуальное государство F в дни противостояния круглосуточно находится под атаками команд из разных уголков мира. Поэтому итоги дня мы фиксируем в 21:10 по московскому времени (когда заканчивает работать жюри).

👀 Результаты атакующих команд (уже впечатляющие!)

Красным удалось реализовать 32 критических события, из них 7 уникальных. Первое было реализовано командой DD0ST4R из Казахстана 🇰🇿, по итогу дня она в лидерах битвы (на ее счету 3 критических события, 12 обнаруженных уязвимостей и 13 200 баллов).

На втором месте в турнирной таблице — команда ChiLL Chain из Узбекистана 🇺🇿 (участники реализовали 3 критических события, обнаружили 15 уязвимостей и набрали 10 292 балла). На третьем — команда 0xZ3rol0g1c из Казахстана 🇰🇿 (на их счету 3 критических события, 4 уязвимости и 9200 баллов).

Из интересного: сразу 12 командам на платформе STFware удалось увеличить количество токенов на счету и получить доступ к сохраненным данным пользователей.

Всего красные команды обнаружили 131 уязвимость, больше всего в ИТ-секторе. Как минимум одно критическое событие удалось реализовать 16 командам красных из 48. В топ-10 вошли команды из Индонезии 🇮🇩, Малайзии 🇲🇾, Вьетнама 🇻🇳 и Польши 🇵🇱.

😼 А что у защитников?

Синие команды расследовали 4 критических события, а также обнаружили 290 инцидентов.

Команда Command and Defend из России 🇷🇺 защищает энергетику и выступают в битве в режиме реагирования. За первый день ее участники обнаружили 53 инцидента, из которых предотвратили 19.

Из интересного: команда Langit Biru из Индонезии 🇮🇩 выявила 92 инцидента, среднее время обнаружения — 1 минута.

⭐ Второй день кибербитвы уже стартовал: следите за ее ходом на нашем сайте, а в 17:30 присоединяйтесь к эфиру из студии аналитики Standoff Insider.

(Компании + белые хакеры) × ❤️ = багбаунти

Почему исследователи безопасности любят багбаунти, нам известно. А почему компании все чаще выбирают такой формат проверки защищенности вместо пентестов или аудитов?

👉 Об этом в нашем новом видосе рассказывают Тимофей Черных, руководитель продуктовой безопасности Ozon, и Александр Хамитов, руководитель продуктовой безопасности Wildberries. А также Анатолий Иванов со стороны Standoff Bug Bounty.

Каверзные вдумчивые вопросы им задает Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.

Вместе разбираемся:

• можно ли сдать уязвимость вне скоупа и получить за нее награду.

• как узнать, что дубликат — действительно дубликат, а не попытка сокрытия бага.

• исследователи из каких стран ищут уязвимости в российских компаниях (помимо России).

• что выгоднее для компаний: багбаунти или пентест.

• какая найденная уязвимость может разбудить специалиста по ИБ посреди ночи.

• сколько денег нужно, чтобы стать счастливым выйти на багбаунти.

Смотрите ролик на любой удобной платформе:

📺 YouTube 📺 Rutube 📺 VK Видео