Security Training & Awareness в Тинькофф

Друзья, перед вами — расшифровка доклада Елены Клочковой с митапа Avito о безопасности. Читать дальше →...

Все блоги / Про интернет

[Перевод] Кража персональных данных пользователя (PII) с помощью вызова API напрямую

Сегодня решили обсудить тему информационной безопасности. Публикуем перевод статьи Kunal pandey, обнаруживаем уязвимости и работаем на опережение! Введение Кража персональных данных (PII) пользователя стала для нас обыденным явлением. Злоумышленники находят множество способов получить персональные...

Все блоги / Про интернет

[Перевод] Почему этичным хакерам следует взламывать корпорации сообща. Интервью с баг-хантером Алексом Чапманом

Алекс Чапман, работающий в сфере этичного хакинга 13 лет, рассказал изданию The Daily Swig о будущем кибербезопасности, принципах, благодаря которым он остается успешным и востребованным хакером, и о том, почему он верит в сотрудничество между баг-хантерами. Читать дальше →...

Все блоги / Про интернет

Как я нашёл уязвимость в QIWI и заработал $200

Когда-то давно я мечтал стать специалистом по информационной безопасности и усердно ковырял разные веб-сайты на предмет уязвимостей. Моей самой большой победой стало нахождение уязвимости в платёжной системе QIWI, за которую добрые разработчики отсыпали мне 200 долларов. В итоге обнаруженная...

Все блоги / Про интернет

Этичный хакинг: как взламывать системы и при этом зарабатывать легально

Кто такой хакер? Большинство людей, которые далеки от программирования, представляют перед собой злостного преступника, взламывающего системы безопасности банков, чтобы украсть деньги. Что-то вроде героя Хью Джекмана из фильма «Пароль —“Рыба-меч”», который взламывает шифр Вернама, чтобы украсть из...

Все блоги / Про интернет

Leak-Search: как и зачем QIWI создала сервис, который ищет утечки исходных кодов компаний

Искать утечки и уязвимости в своих продуктах не только интересно и полезно, но и необходимо. Еще полезнее подключать к таким поискам внешних специалистов и энтузиастов, у которых не настолько замылен глаз, как у сотрудников. Поэтому в свое время мы в QIWI запустили программу bug bounty —...

Все блоги / Про интернет

[recovery mode] Every bug matters: Как запустить программу Bug Bounty в компании

Рассказываем об опыте Timeweb Любой компании необходим взгляд со стороны на состояние информационной безопасности сервисов и продуктов. Эту задачу можно решить разными способами, один из которых — участие в Bug Bounty программах. Bug Bounty программа как свежая сила в деле багхантинга Bug Bounty...

Все блоги / Про интернет

Фирмы используют баг-баунти, чтобы купить молчание хакеров

Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая: Хакер сообщает о найденной уязвимости. Компания-разработчик исправляет баг и перечисляет...

Все блоги / Про интернет

[Из песочницы] Утечка номера телефона и геолокации через уязвимость в Телеграме

Последнее время в Telegram все чаще обсуждаются темы пробива людей и утечек персональных данных. Мне стало интересно, а насколько сама экосистема Telegram устойчива к подобным утечкам. Под катом история о том, как я нашел баг в Telegram. Баг позволяет ввести в заблуждение пользователя, и...

Все блоги / Про интернет

Об одной уязвимости в…

Год назад, 21 марта 2019, в баг баунти программу Mail.Ru на HackerOne пришел очень хороший багрепорт от maxarr. При внедрении нулевого байта (ASCII 0) в POST-параметр одного из API-запросов веб-почты, который возвращал HTTP-редирект, в данных редиректа виднелись куски неинициализированной памяти, в...

Все блоги / Про интернет

[Перевод] Охота за ошибками в Kubernetes официально открыта

Прим. перев.: Две недели назад стартовала программа Bug Bounty у Kubernetes — долгожданный и важный шаг для столь масштабного Open Source-проекта. В рамках этой инициативы любой энтузиаст, обнаруживший проблему в безопасности K8s, может получить награду в объёме от 100 USD (минимальная критичность)...

Все блоги / Про интернет

Тестирование двухфакторной аутентификации и возможные варианты обхода

Еще до того, как я начал постигать сложную науку информационной безопасности, мне казалось, что 2FA аутентификация — это гарантированный способ защитить свой аккаунт и никакие «эти ваши хакеры» не смогут, скажем, увести мою внутреннюю валюту для покупки одежды персонажам на игровом аккаунте. Но с...

Все блоги / Про интернет

Охота за уязвимостями на 7% эффективнее

«За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). К тому моменту я уже слышал...

Все блоги / Про интернет

Как я нашел способ отследить всех водителей «Ситимобил»

В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобил» я увидел, что один интересный запрос выполняется без какой-либо аутентификации. Это был запрос на получение информации о ближайших машинах. Выполнив этот запрос несколько раз с разными...

Все блоги / Про интернет

Охота за ошибками, Blind-XSS и лисьи хитрости

Лисы знают толк в охоте :) Многие наверняка уже слышали о BugBounty, поиске уязвимостей с вознаграждениями и сопутствующих историях об этом. Я, как один из «охотников за ошибками», начал свой путь чуть больше года назад на площадке HackerOne. За это время мне удалось многое узнать о различных видах...

Все блоги / Про интернет

Как я Telegram ломал

Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Но, не ошибается тот, кто...

Все блоги / Про интернет

Эксплуатация cookie-based XSS | $2300 Bug Bounty story

⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уязвимость, которая и станет...

Все блоги / Про интернет

[Из песочницы] Интернет проект security.txt — знакомство с еще одним .well-known файлом

Основная идея проекта — формализация взаимодействия между внутренней ИБ и внешними исследователями, давая четкое указание как и куда направлять информацию об уязвимостях или проблемах безопасности. Формализация взаимодействия — серьезная проблема, не все сайты имеют программы bug bounty, или даже...

Все блоги / Про интернет

Назад