РЕСО-Гарантия ставит программу на небольшую паузу
Багхантеры, ваш энтузиазм в отношении программы РЕСО оказался так силен, что страховая компания приняла решение немного отдохнуть на новогодних праздниках (и чуть подольше).
💤 Программа на паузе с ночи 28 декабря и до середины января. Мы напишем, когда она снова вернется в строй — не пропустите!
Да, даже страховой компании иногда нужно восстановить ресурс! 🛌
Багхантеры, ваш энтузиазм в отношении программы РЕСО оказался так силен, что страховая компания приняла решение немного отдохнуть на новогодних праздниках (и чуть подольше).
Да, даже страховой компании иногда нужно восстановить ресурс! 🛌
Please open Telegram to view this post
VIEW IN TELEGRAM
Скоро Новый год, а это значит, что мы хотим поздравить вас…
… и напомнить об очень-очень важных итогах года, проведенного вместе.
Платформа Standoff 365 развивается и становится лучше с вами. Вместе мы радовались вашим критам и реализованным критическим событиям, гордились за каждый взлом на онлайн-полигоне, гладили котов и смеялись над мемами, ели пиццу и пили пиво,разве что не путали наш чат с чатом Standoff 2.
А в следующем году мы желаем каждому залутать шикарное баунти, исследовать клевые скоупы и кайфануть на кибербитвах!
Оставайтесь с нами в 2025 году (а может, и дольше). С праздником!
Команда Standoff🎄
… и напомнить об очень-очень важных итогах года, проведенного вместе.
Платформа Standoff 365 развивается и становится лучше с вами. Вместе мы радовались вашим критам и реализованным критическим событиям, гордились за каждый взлом на онлайн-полигоне, гладили котов и смеялись над мемами, ели пиццу и пили пиво,
А в следующем году мы желаем каждому залутать шикарное баунти, исследовать клевые скоупы и кайфануть на кибербитвах!
Оставайтесь с нами в 2025 году (а может, и дольше). С праздником!
Команда Standoff
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Начинаем год с полезного контента: в новом видосе обсудили, как одни из первых компаний на платформе Standoff Bug Bounty принимали решение о выходе на багбаунти, с какими проблемами сталкивались и почему уверены, что дружить с багхантерами — выгодно.
Поговорили об этом с Константином Ермаковым, руководителем направлений проектной безопасности Rambler&Co, и Станиславом Громовым, техническим руководителем по ИБ hh․ru. В дискуссии принял участие Анатолий Иванов, CPO Standoff Bug Bounty, а вопросы гостям задавал Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.
🔍 Из ролика вы узнаете:
• чем уникально багбаунти в сравнении с пентестом и аудитом.
• как выстроен процесс решения проблем с дубликатами.
• как выглядит калькулятор импакта от найденных уязвимостей.
• на каких уязвимостях фокусироваться багхантерам...
• ...и нужно ли вообще себя ограничивать?
И многое другое о нюансах (а иногда — даже о вызовах!) внутри рабочих процессов компаний в отношении багбаунти!
Смотрите ролик на любой удобной платформе:
Please open Telegram to view this post
VIEW IN TELEGRAM
Как разглядеть багхантера в толпе обычных людей? Посмотреть на его карту!
😎 Т-Банк предлагает багхантерам, которые сдавали уязвимости в их багбаунти-программу, новые бонусы.
Теперь на багхантерских картах (да, такие есть!) можно получать специальный кешбэк в 50% за аренду VDS и покупки в супермаркетах (не более 15 тысяч рублей).
🔎 Подробности можно посмотреть в приложении банка в разделе «Кешбэк и бонусы».
Если вы хотите получить карту в уникальном дизайне, чтобы впечатлитьродителей или дать своим «коллегам» возможность узнать вас где-нибудь в публичном месте, то вам нужно:
🔸 Сдать в программу Т-Банка критически опасную уязвимость.
🔸 Или нахантить больше чем на 1 млн рублей.
Приятнее найденного крита могут быть только дополнительные ништяки за него!
Теперь на багхантерских картах (да, такие есть!) можно получать специальный кешбэк в 50% за аренду VDS и покупки в супермаркетах (не более 15 тысяч рублей).
🔎 Подробности можно посмотреть в приложении банка в разделе «Кешбэк и бонусы».
Если вы хотите получить карту в уникальном дизайне, чтобы впечатлить
🔸 Сдать в программу Т-Банка критически опасную уязвимость.
🔸 Или нахантить больше чем на 1 млн рублей.
Приятнее найденного крита могут быть только дополнительные ништяки за него!
Please open Telegram to view this post
VIEW IN TELEGRAM
Нешуточные итоги Standoff Bug Bounty за 2024 год
Январские каникулы закончились, и все только-только успели собрать себя по кусочкам, войти в рабочий режим и оставить позади 2024 год. Но не спешим его забывать, ведь нам есть чем вас порадовать!
🔣 Standoff Bug Bounty остается крупнейшей отечественной багбаунти-площадкой. В 2024 году компании, которые разрабатывают онлайн-сервисы, выплатили белым хакерам больше, чем организации всех других отраслей: на них приходится более трети вознаграждений. А максимальной выплатой за одну найденную уязвимость стала награда в рекордные 3 960 000 рублей.
⭐ Об этом и многом другом читайте на карточках. Ведь дальше — только лучше!
Полностью с исследованием об итогах работы платформы в 2024 году можно познакомиться на сайте (данные указаны на ноябрь 2024-го).
Январские каникулы закончились, и все только-только успели собрать себя по кусочкам, войти в рабочий режим и оставить позади 2024 год. Но не спешим его забывать, ведь нам есть чем вас порадовать!
Полностью с исследованием об итогах работы платформы в 2024 году можно познакомиться на сайте (данные указаны на ноябрь 2024-го).
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Мой первый день на кибербитве
В своей статье Саша Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, бодро рассказывает о кибербитве Standoff 13. Ивент проходил в рамках киберфестиваля Positive Hack Days. Саша сопровождал синюю команду, помогая ей использовать MaxPatrol EDR для защиты конечных устройств.
✨ В тексте красочно описана не только атмосфера фестиваля, но и закулисье противостояния. Автор, вместе с 20 опытными спецами, защищал сектор атомной промышленности на киберполигоне.
Вы узнаете из первых рук:
🔹 как организованы командные процессы на кибербитве;
🔹 какие техники реагирования используют защитники;
🔹 как белые хакеры отрабатывают сложные сценарии и выводят онлайн-полигон на международный уровень;
🔹как обменять 700 граммов вяленой говядины на разлитый пуэр;
И, в конце концов, просто погрузитесь в ламповые воспоминания о захватывающем дне.🍃
Читайте статью на Хабре.
В своей статье Саша Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, бодро рассказывает о кибербитве Standoff 13. Ивент проходил в рамках киберфестиваля Positive Hack Days. Саша сопровождал синюю команду, помогая ей использовать MaxPatrol EDR для защиты конечных устройств.
Вы узнаете из первых рук:
🔹 как организованы командные процессы на кибербитве;
🔹 какие техники реагирования используют защитники;
🔹 как белые хакеры отрабатывают сложные сценарии и выводят онлайн-полигон на международный уровень;
🔹
И, в конце концов, просто погрузитесь в ламповые воспоминания о захватывающем дне.
Читайте статью на Хабре.
Please open Telegram to view this post
VIEW IN TELEGRAM
Это мы о программах кибериспытаний, которые появились на Standoff Bug Bounty в рамках сотрудничества с АО «Кибериспытание». Чтобы их запустить, наш партнер выделил фонд в размере 100 млн рублей для выплат багхантерам.
Багхантер, который в течение трех-шести месяцев первым благополучно сдаст отчет по любой из экспресс-программ, получит 1 млн рублей. О том, что это произошло, ты узнаешь, когда программа отправится в архив и на ней появится соответствующая отметка
Больше подробностей — в новых программах на Standoff Bug Bounty.
Please open Telegram to view this post
VIEW IN TELEGRAM
На платформе Standoff 365 пройдут технические работы 🚧
Сегменты онлайн-полигона для профи и для новичков будут недоступны 4 и 5 февраля с 12:00 до 18:00.
Вся остальная платформа будет работать в штатном режиме.
Сегменты онлайн-полигона для профи и для новичков будут недоступны 4 и 5 февраля с 12:00 до 18:00.
Вся остальная платформа будет работать в штатном режиме.
Сайт попросил оставить отзыв, но ты оставляешь XSS
🕵️♂️ Как найти уязвимость в вебе, если ты новичок?
Взлом приложений кажется чем-то сложным? Анна Куренова, DevSecOps-инженер, докажет, что это не так! В свежей статье она рассказывает о базовых веб-уязвимостях, которые по силам даже тем, кто только начал разбираться в багхантинге.
У вас есть Burp Suite, базовые знания о вебе и немного любопытства. Что можно сделать?
✔️ Подменить ID в запросе и залезть в чужую корзину.
✔️ Внедрить скрипт в форму поиска, чтобы атаковать пользователей.
✔️ Подсунуть серверу поддельный XML и вытянуть файлы.
Вся магия происходит в Juice Shop — тестовом онлайн-магазине, наполненном уязвимостями. Анна покажет, как анализировать HTTP-запросы с помощью Burp Suite, изменять параметры и находить дыры в безопасности.
📌 Статья будет полезна:
✅ Новичкам, которые хотят попробовать себя в багхантинге.
✅ Разработчикам, которые хотят понять, как атакуют их сервисы.
✅ Тем, кто хочет разбираться в основах веб-безопасности.
📖 Читаем статью.
🎥 Смотрим разбор на видео.
🕵️♂️ Как найти уязвимость в вебе, если ты новичок?
Взлом приложений кажется чем-то сложным? Анна Куренова, DevSecOps-инженер, докажет, что это не так! В свежей статье она рассказывает о базовых веб-уязвимостях, которые по силам даже тем, кто только начал разбираться в багхантинге.
У вас есть Burp Suite, базовые знания о вебе и немного любопытства. Что можно сделать?
✔️ Подменить ID в запросе и залезть в чужую корзину.
✔️ Внедрить скрипт в форму поиска, чтобы атаковать пользователей.
✔️ Подсунуть серверу поддельный XML и вытянуть файлы.
Вся магия происходит в Juice Shop — тестовом онлайн-магазине, наполненном уязвимостями. Анна покажет, как анализировать HTTP-запросы с помощью Burp Suite, изменять параметры и находить дыры в безопасности.
📌 Статья будет полезна:
✅ Новичкам, которые хотят попробовать себя в багхантинге.
✅ Разработчикам, которые хотят понять, как атакуют их сервисы.
✅ Тем, кто хочет разбираться в основах веб-безопасности.
📖 Читаем статью.
🎥 Смотрим разбор на видео.
🛠 DevOps говорит «это просто», а ты уже неделю конфигурируешь Ansible
На киберполигоне Standoff мы решили автоматизировать процесс конфигурации: сделать так, чтобы инфраструктура развертывалась по кнопке и сразу была готова к работе. В первой из серии статей Вячеслав Валенко, руководитель группы автоматизации Standoff, рассказывает, как мы к этому пришли.
💡 Что мы хотели?
Создать user-friendly-конфигуратор, в котором можно визуально собрать инфраструктуру, передать ее в систему развертывания (Deployer) и мгновенно получить рабочий полигон.
🔨 Что сделали?
🔹 Взяли Ansible, но пересмотрели стандартный подход.
🔹 Отвязали группы хостов от их функционала и дали им сетевую роль.
🔹 Сделали так, чтобы каждый сервер сам знал, где DNS, где логиниться и какие сервисы доступны.
А получили — развертывание сложных инфраструктур за считанные минуты, готовность сервисов без ручной настройки и минимум затрат на поддержку.
Разбираем все тонкости в статье на Хабре. Подписывайтесь на автора и следите за продолжением: в следующей статье Вячеслав расскажет, как, используя сформированную структуру инвентаря Ansible, интегрировать хосты между собой.
На киберполигоне Standoff мы решили автоматизировать процесс конфигурации: сделать так, чтобы инфраструктура развертывалась по кнопке и сразу была готова к работе. В первой из серии статей Вячеслав Валенко, руководитель группы автоматизации Standoff, рассказывает, как мы к этому пришли.
Создать user-friendly-конфигуратор, в котором можно визуально собрать инфраструктуру, передать ее в систему развертывания (Deployer) и мгновенно получить рабочий полигон.
🔹 Взяли Ansible, но пересмотрели стандартный подход.
🔹 Отвязали группы хостов от их функционала и дали им сетевую роль.
🔹 Сделали так, чтобы каждый сервер сам знал, где DNS, где логиниться и какие сервисы доступны.
А получили — развертывание сложных инфраструктур за считанные минуты, готовность сервисов без ручной настройки и минимум затрат на поддержку.
Разбираем все тонкости в статье на Хабре. Подписывайтесь на автора и следите за продолжением: в следующей статье Вячеслав расскажет, как, используя сформированную структуру инвентаря Ansible, интегрировать хосты между собой.
Please open Telegram to view this post
VIEW IN TELEGRAM
Был крит — стала ачивка
Получили доступ к управлению сервером платежей? Реализовали утечку информации, составляющую банковскую тайну? Бегом проверять профиль!
⭐️ Обновление онлайн-полигона для красных в самом разгаре, и банковские критические события потихоньку отправляются в архив, но ваши подвиги — нет! Если вы успели реализовать какие-то события, в профиле на Standoff 365 вас ждет ачивка.
☀️ Можно выдохнуть: обнуления баллов пока не будет — пусть цифры порадуют еще немного.
Мы работаем над новыми сценариями и механиками, так что впереди — крутые вызовы и достижения. Следите за новостями!
Проверьте свои ачивки в профиле — заслуженные награды ждут вас. 🏅Кстати, недавно мы также выдали ачивки тем участникам платформы багбаунти и онлайн-полигона, которых награждали на встрече топов года!
Получили доступ к управлению сервером платежей? Реализовали утечку информации, составляющую банковскую тайну? Бегом проверять профиль!
⭐️ Обновление онлайн-полигона для красных в самом разгаре, и банковские критические события потихоньку отправляются в архив, но ваши подвиги — нет! Если вы успели реализовать какие-то события, в профиле на Standoff 365 вас ждет ачивка.
☀️ Можно выдохнуть: обнуления баллов пока не будет — пусть цифры порадуют еще немного.
Мы работаем над новыми сценариями и механиками, так что впереди — крутые вызовы и достижения. Следите за новостями!
Проверьте свои ачивки в профиле — заслуженные награды ждут вас. 🏅Кстати, недавно мы также выдали ачивки тем участникам платформы багбаунти и онлайн-полигона, которых награждали на встрече топов года!