В погоне за багами: на кого охотились и как зарабатывали белые хакеры
В мае 2022 года мы запустили собственную платформу для поиска уязвимостей за вознаграждение — Standoff Bug Bounty. С тех пор она стала крупнейшей российской площадкой багбаунти: более 18 тысяч независимых исследователей безопасности из России и других стран сдали на ней свыше 8 тысяч отчетов....
Как Kaiten помогает белым хакерам управлять проектами: опыт первого в России кооператива по информационной безопасности
Меня зовут Алексей Поликарпов, я тимлид координаторов проектов в производственном кооперативе РАД КОП. Наша команда состоит из экспертов в области комплаенса, наступательной безопасности и инженерно-технической защиты. Мы используем передовые подходы к управлению проектами и с момента создания...
Bug Bounty в России: как дела с белыми русскими хакерами?
Привет Хабр! Меня зовут Петр Уваров, я руководитель направления Bug Bounty в VK. Есть много статей, где багхантеры рассказывают о Bug Bounty и своем опыте в нем. Но в этой статье, я бы хотел проанализировать текущую ситуацию на российском рынке, сравнив ее с тем, что было раньше, и поговорить про...
Сравнение зарубежных и отечественных площадок для белых хакеров по сложности
Привет, Хабр! Продолжая “рекламную кампанию” информационной безопасности для заинтересовавшихся, хочу затронуть тему площадок для этичных хакеров (и не только для них, на самом деле). В этой статье я объясню где и чему конкретно можно научиться. Читать далее...
Как начать заниматься багхантингом веб-приложений. Часть 3
В предыдущих статьях (первая, вторая) мы рассматривали несколько типов уязвимостей на примерах устаревших версий реального программного обеспечения, рассказывали о базовом инструментарии при занятии багхантингом, о багбаунти-программах, их правилах, скоупе и исключениях. В заключительной части...
Capture The Flag: разбор задач, которые мы предлагали решить на SOC-форуме в этом году
Привет, Хабр. На прошедшем в ноябре SOС-форуме мы предлагали желающим решить несколько ИБ-задач: по пентесту, OSINT и digital forensic. Оказалось, квестом заинтересовались многие: всего участие приняли более 500 человек. А после форума нас стали просить прислать задания и решения к ним. И мы решили...
Как начать заниматься багхантингом веб-приложений
Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест, и редтиминг, и bug bounty. Дыры в программном обеспечении могут обернуться убытками для компаний и компрометацией персональных данных (а иногда и финансовыми потерями) для...
Bug Bounty от Positive Technologies: некоторые вопросы и ответы. Интервью с СРО The Standoff 365 Ярославом Бабиным
В мире информационной безопасности существует несколько вариантов, как различным компаниям проверить свои продукты или инфраструктуру на возможность взлома. Например, пентест или тестирование на проникновение — оценка безопасности компьютерных систем или сетей с помощью средств моделирования атаки...