bug-bounty

  • ХабрахабрФото Leak-Search: как и зачем QIWI создала сервис, который ищет утечки исходных кодов компаний

    Leak-Search: как и зачем QIWI создала сервис, который ищет утечки исходных кодов компаний

    Искать утечки и уязвимости в своих продуктах не только интересно и полезно, но и необходимо. Еще полезнее подключать к таким поискам внешних специалистов и энтузиастов, у которых не настолько замылен глаз, как у сотрудников. Поэтому в свое время мы в QIWI запустили программу bug bounty — исследователи писали нам об уязвимостях и получали вознаграждение, а мы — закрывали эти уязвимости. …

    Читать далее »
  • ХабрахабрФото [recovery mode] Bug bounty Ozon: вопросы и ответы

    [recovery mode] Bug bounty Ozon: вопросы и ответы

    Мы запустили публичную bug bounty программу на HackerOne — теперь за найденные на сайте Ozon уязвимости можно получить вознаграждение, а заодно помочь компании, сервисом которой пользуются друзья, знакомые и родственники. В этой статье команда информационной безопасности Ozon отвечает на самые популярные вопросы о программе. Какие ресурсы Ozon участвуют в программе? Пока только основной сайт, но мы планируем подключать и другие…

    Читать далее »
  • ХабрахабрФото Фирмы используют баг-баунти, чтобы купить молчание хакеров

    Фирмы используют баг-баунти, чтобы купить молчание хакеров

    Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая: Хакер сообщает о найденной уязвимости. Компания-разработчик исправляет баг и перечисляет хакеру вознаграждение в качестве благодарности за то, что он поступил правильно. Но в реальности всё работает иначе. Как показало расследование CSO, компании и платформы баг-баунти…

    Читать далее »
  • ХабрахабрФото [Из песочницы] Утечка номера телефона и геолокации через уязвимость в Телеграме

    [Из песочницы] Утечка номера телефона и геолокации через уязвимость в Телеграме

    Последнее время в Telegram все чаще обсуждаются темы пробива людей и утечек персональных данных. Мне стало интересно, а насколько сама экосистема Telegram устойчива к подобным утечкам. Под катом история о том, как я нашел баг в Telegram. Баг позволяет ввести в заблуждение пользователя, и подтолкнуть его неосознанно поделиться своими данными — геолокацией и номером телефона.Вот как это работает: [embedded content]…

    Читать далее »
  • ХабрахабрФото Об одной уязвимости в…

    Об одной уязвимости в…

    Год назад, 21 марта 2019, в баг баунти программу Mail.Ru на HackerOne пришел очень хороший багрепорт от maxarr. При внедрении нулевого байта (ASCII 0) в POST-параметр одного из API-запросов веб-почты, который возвращал HTTP-редирект, в данных редиректа виднелись куски неинициализированной памяти, в которых чаще всего раскрывались фрагменты из GET-параметров и заголовков других запросов к тому же серверу.Это критическая уязвимость, т.к. запросы…

    Читать далее »
  • ХабрахабрФото [Перевод] Охота за ошибками в Kubernetes официально открыта

    [Перевод] Охота за ошибками в Kubernetes официально открыта

    Прим. перев.: Две недели назад стартовала программа Bug Bounty у Kubernetes — долгожданный и важный шаг для столь масштабного Open Source-проекта. В рамках этой инициативы любой энтузиаст, обнаруживший проблему в безопасности K8s, может получить награду в объёме от 100 USD (минимальная критичность) до 10 000 USD (наивысшая критичность для компонента из ядра Kubernetes). Анонс программы был сделан сотрудниками Google, занимающимися…

    Читать далее »
  • ХабрахабрФото Охота за уязвимостями на 7% эффективнее

    Охота за уязвимостями на 7% эффективнее

    «За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. К тому моменту я уже слышал об упрощенке для ИП и решил провести…

    Читать далее »
  • ХабрахабрФото Охота за уязвимостями на 7% эффективнее

    Охота за уязвимостями на 7% эффективнее

    «За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. К тому моменту я уже слышал об упрощенке для ИП и решил провести…

    Читать далее »
  • ХабрахабрФото Как я нашел способ отследить всех водителей «Ситимобил»

    Как я нашел способ отследить всех водителей «Ситимобил»

    В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобил» я увидел, что один интересный запрос выполняется без какой-либо аутентификации. Выполнив этот запрос несколько раз с разными параметрами я понял, что можно выгружать данные о таксистах практически в реалтайме. Это был запрос на получение информации о ближайших машинах. Вы только представьте, сколько интересного…

    Читать далее »
  • ХабрахабрФото Как я Telegram ломал

    Как я Telegram ломал

    Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Но, не ошибается тот, кто ничего не делает!Ещё в мае 2017 года kyprizel обратил внимание на то, что…

    Читать далее »


Кнопка «Наверх»