Банковская отрасль снова доступна для вас, хакеры. Теперь она с новыми заданиями представлена в рамках первого сезона Ground Zero на обновленном онлайн-полигоне Standoff Hackbase.
Эта отрасль останется и в следующем сезоне. Внутри банка на протяжении сезонов будет появляться что-то новое.
Лови обновление и прокачивай свои скилы, чтобы стать еще круче 😎 И следи за новостями про новые дропы на Standoff Hackbase.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18❤2👌2🤡1💘1
Отчеты разобрали — дисклоуз сделали 🔥
Всегда хотел посмотреть, как профи оформляют баги? Или, может, интересно узнать, как выжать максимум из своей работы? Тогда лови подборку! На Standoff Bug Bounty выложили свежие раскрытые отчеты от VK Bug Bounty — те самые, которые разбирали на недавнем вебинаре.
Запись вебинара уже в открытом доступе. Так что если не успел посмотреть, то сейчас — самое время.
Всегда хотел посмотреть, как профи оформляют баги? Или, может, интересно узнать, как выжать максимум из своей работы? Тогда лови подборку! На Standoff Bug Bounty выложили свежие раскрытые отчеты от VK Bug Bounty — те самые, которые разбирали на недавнем вебинаре.
Запись вебинара уже в открытом доступе. Так что если не успел посмотреть, то сейчас — самое время.
❤10🔥6🥰3🤡3❤🔥1👍1
Кибербитва Standoff 15 давно прошла, но мы не договорили
Самое время напомнить, какие команды стали лучшими среди атакующих, а значит — попадут на Standoff 17 в мае 2026 года без отбора😎
— DreamTeam
— FR13NDS & RHACKERS
— Dataeli&only_f4st
— Cyb7rC0d3#
— cR4․sh
Еще несколько команд пройдут на кибербитву по итогам отбора на Standoff Hackbase. Какими будут его условия, напишем ближе к делу.
На этом месте(или даже раньше) самые внимательные спросят: «В смысле — Standoff 17? Вы цифру не пропустили?» 🤔
Ничего не пропустили. Мы хотим привлекать новые сильные команды и формировать классное интернациональное комьюнити. Поэтому кибербитва Standoff 16 пройдет в октябре и будет международной.
На нее мы приглашаем иностранные команды, которые «прогуляли» предыдущую кибербитву. Пятерка лучших тоже попадет на весеннюю Standoff 17 (там и увидитесь).
❕ Участников команд из топ-20 рейтинга Standoff 15 мы пригласим на международную кибербитву в качестве менторов. Расскажем подробнее в одном из ближайших постов.
Коротко о Standoff 16:
📅 6–8 октября
💻 Онлайн
🔴 До 25 атакующих команд
🔵 До 10 команд защитников
P. S. Как организаторы оставляем за собой право пригласить на осеннюю кибербитву любую команду без отбора — по wildcard.
Самое время напомнить, какие команды стали лучшими среди атакующих, а значит — попадут на Standoff 17 в мае 2026 года без отбора
— DreamTeam
— FR13NDS & RHACKERS
— Dataeli&only_f4st
— Cyb7rC0d3#
— cR4․sh
Еще несколько команд пройдут на кибербитву по итогам отбора на Standoff Hackbase. Какими будут его условия, напишем ближе к делу.
На этом месте
Ничего не пропустили. Мы хотим привлекать новые сильные команды и формировать классное интернациональное комьюнити. Поэтому кибербитва Standoff 16 пройдет в октябре и будет международной.
На нее мы приглашаем иностранные команды, которые «прогуляли» предыдущую кибербитву. Пятерка лучших тоже попадет на весеннюю Standoff 17 (там и увидитесь).
Коротко о Standoff 16:
📅 6–8 октября
💻 Онлайн
🔴 До 25 атакующих команд
🔵 До 10 команд защитников
P. S. Как организаторы оставляем за собой право пригласить на осеннюю кибербитву любую команду без отбора — по wildcard.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥21🔥9👌6❤5👎1🤡1
TOM TAILOR выходит на кибериспытания
Готов проверить на прочность одного из самых стильных игроков fashion-индустрии? Тогда доставай свои лучшие эксплойты: на Standoff Bug Bounty выходит бренд одежды TOM TAILOR.
Проверь, насколько надежна защита цифрового гардероба!Справишься — и миллион твой.
Заходи на Standoff Bug Bounty и помогай бренду стать еще безопаснее💫
Готов проверить на прочность одного из самых стильных игроков fashion-индустрии? Тогда доставай свои лучшие эксплойты: на Standoff Bug Bounty выходит бренд одежды TOM TAILOR.
Проверь, насколько надежна защита цифрового гардероба!
Заходи на Standoff Bug Bounty и помогай бренду стать еще безопаснее
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👎3👍2🔥2🤡1
Амбассадоры, отзовитесь! Вы нужны Standoff Bug Bounty
На связи команда Standoff Bug Bounty, и у нас для тебя есть кое-что особенное. Мы любим наше комьюнити и хотим собрать вокруг себя самых активных ребят — тех, кто реально горит багбаунти.
🎯 Кто нам нужен? Все, кто в теме: багхантеры, пентестеры, участники CTF-соревнований, новички и профи. Неважно, сколько у тебя отчетов за спиной, — важно, что тебе интересно прокачивать комьюнити вместе с нами.
🎉 Что мы будем делать? Будем вместе продвигать багбаунти в массы, делать крутой контент, участвовать в закрытых тусовках, делиться опытом и просто кайфовать от всей этой движухи.
🎁 А что с нас? Полный комплект плюшек: совместные коллабы, эксклюзивные проекты, редкий мерч Standoff и, конечно, бесценный опыт, а также нетворкинг с самыми крутыми ребятами из комьюнити.
Как подать заявку? Напиши нам на почту [email protected], а в теме письма обязательно укажи «Хочу быть амбассадором». Расскажи, кто ты, чем занимаешься и почему хочешь стать амбассадором Standoff Bug Bounty.
На связи команда Standoff Bug Bounty, и у нас для тебя есть кое-что особенное. Мы любим наше комьюнити и хотим собрать вокруг себя самых активных ребят — тех, кто реально горит багбаунти.
🎯 Кто нам нужен? Все, кто в теме: багхантеры, пентестеры, участники CTF-соревнований, новички и профи. Неважно, сколько у тебя отчетов за спиной, — важно, что тебе интересно прокачивать комьюнити вместе с нами.
🎉 Что мы будем делать? Будем вместе продвигать багбаунти в массы, делать крутой контент, участвовать в закрытых тусовках, делиться опытом и просто кайфовать от всей этой движухи.
🎁 А что с нас? Полный комплект плюшек: совместные коллабы, эксклюзивные проекты, редкий мерч Standoff и, конечно, бесценный опыт, а также нетворкинг с самыми крутыми ребятами из комьюнити.
Как подать заявку? Напиши нам на почту [email protected], а в теме письма обязательно укажи «Хочу быть амбассадором». Расскажи, кто ты, чем занимаешься и почему хочешь стать амбассадором Standoff Bug Bounty.
❤21🔥7👏1😁1🤡1
Слушай, как хакает топ-1: плейлист от Bagley уже здесь
Что вдохновляет тебя на новые подвиги, когда ты ищешь уязвимости или покоряешь полигон? Для многих источник вдохновения — любимая музыка.
Мы тут подумали: а что слушают наши белые хакеры? И спросили лучшего среди атакующих — Bagley, под какую музыку он добивается своих успехов. Десять его любимых треков мы выложили в плейлисте.
Теперь ты можешь хакать под те же треки, под которые работает чемпион. Как сказал сам Bagley:
Полностью согласны!🎹
Что вдохновляет тебя на новые подвиги, когда ты ищешь уязвимости или покоряешь полигон? Для многих источник вдохновения — любимая музыка.
Мы тут подумали: а что слушают наши белые хакеры? И спросили лучшего среди атакующих — Bagley, под какую музыку он добивается своих успехов. Десять его любимых треков мы выложили в плейлисте.
Теперь ты можешь хакать под те же треки, под которые работает чемпион. Как сказал сам Bagley:
Что бы ты ни делал — искал баги, решал полигон или писал код — главное, чтобы рядом звучала хорошая музыка.
Полностью согласны!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥27🔥10🥴7🤩3❤2👎2🤡1
Топ-инструменты для багхантинга от poxek
Это не просто подборка ради подборки — на связи Сергей Зыбнев, ака poxek, и он собрал для тебя ультимативный гайд по своим любимым инструментам для поиска уязвимостей. Для каждого из must-have-тулзов приводится кейс из реальной практики, чтобы было наглядно, как и где их применять.
В статье тебя ждут плюсы и минусы главных инструментов для веб-тестирования, гайд о том, как как фаззить, собирать URL и находить скрытые эндпойнты для лучшей разведки.. и еще много другого!
💡 Поэтому неважно, начинаешь ли ты свой путь в багбаунти или уже в теме, — статья поможет тебе понять, какие инструменты выбрать и как эффективно их применять.
Читай статью полностью на Хабре!
Это не просто подборка ради подборки — на связи Сергей Зыбнев, ака poxek, и он собрал для тебя ультимативный гайд по своим любимым инструментам для поиска уязвимостей. Для каждого из must-have-тулзов приводится кейс из реальной практики, чтобы было наглядно, как и где их применять.
В статье тебя ждут плюсы и минусы главных инструментов для веб-тестирования, гайд о том, как как фаззить, собирать URL и находить скрытые эндпойнты для лучшей разведки.. и еще много другого!
Читай статью полностью на Хабре!
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡45👍29❤16🔥16🥱10👎9
Forwarded from Standoff Bug Bounty Tips
Это далеко не все возможные техники, но именно они чаще всего приводят к результату на практике:
1️⃣ Blind XSS через заголовки: приложения могут логировать ваши данные различными способами, поэтому проверяйте XSS-пэйлоад в HTTP-заголовках (
X-Forwarded-For, Referrer, User-Agent и других)2️⃣ Устаревшие API:
/api/v2 → /api/v1, /api/v2 → /api/, api-v2.example.com → api-v1.example.com или api.example.com3️⃣ SSRF: заменяйте любой URI в запросах на контролируемый вами ресурс через Proxy Interceptor Match & Replace Rule и ждите входящие соединения
4️⃣ Поиск эндпоинтов: используйте GitHub, Google/Yandex дорки, анализируйте JavaScript, Swagger API или другую документацию
5️⃣ CSRF: удалите или замените anti-CSRF токен, меняйте Content-Type и метод запроса
6️⃣ Эксплуатация JWT: ищите слабые алгоритмы подписи, пробуйте манипулировать с токенами
7️⃣ Обход 401/403: попробуйте получить доступ ко вложенному пути (
/admin 401 → /admin/system-resources 200), добавьте спецсимволы или измените методы запроса8️⃣ Неправильная настройка CORS: проверьте правильность настроек CORS и убедитесь, что API позволяет отправлять запросы из любого источника с использованием учётных данных
9️⃣ Тестирование race conditions: проверяйте так называемые high-value транзакции — загрузка файлов, размещение заказов, платежи, переводы
1️⃣0️⃣ XXE: измените Content-Type с
application/json на application/xml и проверьте на наличие XXE1️⃣1️⃣ NoSQL инъекция: манипулируйте параметрами и добавляйте MongoDB (или любой другой NoSQL БД) пэйлоад для обхода ограничений
1️⃣2️⃣ Обход загрузки файлов: пробуйте загрузить файлы с нестандартными расширениями или без них, используйте известные методы обхода (null byte, magic byte и другие)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24❤🔥9🔥5❤3🤡1
Приморский край зовет! Выплаты растут, скоуп расширяется
У нас для тебя отличные новости с востока России: багбаунти-программа «Информационные ресурсы Приморского края» стала еще круче. Они помогают жителям Приморского края получать государственные и муниципальные услуги, а значит — никакой пощады уязвимостям.
Что изменилось?
💰 Выплаты за уязвимости с высоким и критическим уровнем опасности выросли.
🎯 Скоуп расширился. Больше твоя игровая площадка — больше шансов найти что-то интересное (и оплачиваемое).
Не теряй времени, запрыгивай в программу и покажи свой скил, защищая цифровые рубежи Приморского края🎆
У нас для тебя отличные новости с востока России: багбаунти-программа «Информационные ресурсы Приморского края» стала еще круче. Они помогают жителям Приморского края получать государственные и муниципальные услуги, а значит — никакой пощады уязвимостям.
Что изменилось?
💰 Выплаты за уязвимости с высоким и критическим уровнем опасности выросли.
🎯 Скоуп расширился. Больше твоя игровая площадка — больше шансов найти что-то интересное (и оплачиваемое).
Не теряй времени, запрыгивай в программу и покажи свой скил, защищая цифровые рубежи Приморского края
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍7❤5😁1🤡1
Почувствуй себя архитектором: создай уязвимую тачку для Standoff Hackbase
Хочешь оставить след в истории Standoff? Мы приглашаем всех желающих принять участие в создании уязвимых виртуальных машин для нашего онлайн-полигона Standoff Hackbase.
Что нужно делать:
Твоя задача — создать сервис для онлайн-полигона в виде образа виртуальной машины с заложенной уязвимостью. Помимо самого сервиса, придумай ему крутую легенду: как он будет использоваться и в какой сфере. Все требования и специальный шаблон ждут тебя на сайте.
Какой профит ты получишь?
👑 Признание: Лучшие сервисы мы разместим на онлайн-полигоне — в одной из отраслевых инфраструктур. Твое творение будут ломать тысячи спецов со всего мира, тренируясь в выявлении и эксплуатации уязвимостей.
🎁 Награды: Разработчики лучших сервисов получат от нас крутые плюшки: начиная от мерча и ачивок и заканчивая другими, солидными призами.
Так что если ты хочешь не только ломать, но еще и создавать, то это твой шанс!
Все подробности ждут тебя здесь. Давай сделаем Hackbase еще круче вместе😘
Хочешь оставить след в истории Standoff? Мы приглашаем всех желающих принять участие в создании уязвимых виртуальных машин для нашего онлайн-полигона Standoff Hackbase.
Что нужно делать:
Твоя задача — создать сервис для онлайн-полигона в виде образа виртуальной машины с заложенной уязвимостью. Помимо самого сервиса, придумай ему крутую легенду: как он будет использоваться и в какой сфере. Все требования и специальный шаблон ждут тебя на сайте.
Какой профит ты получишь?
👑 Признание: Лучшие сервисы мы разместим на онлайн-полигоне — в одной из отраслевых инфраструктур. Твое творение будут ломать тысячи спецов со всего мира, тренируясь в выявлении и эксплуатации уязвимостей.
🎁 Награды: Разработчики лучших сервисов получат от нас крутые плюшки: начиная от мерча и ачивок и заканчивая другими, солидными призами.
Так что если ты хочешь не только ломать, но еще и создавать, то это твой шанс!
Все подробности ждут тебя здесь. Давай сделаем Hackbase еще круче вместе
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥5🤡4🤔3❤2🥴2