Перейти к публикации
BugBounty forum

Вся активность

Эта лента обновляется автоматически     

  1. Вчера
  2. Были времена, когда по 800 баксов стрёмно было брать. Сейчас уже поздно сожалеть))
  3. Последняя неделя
  4. Забавно ещё то, что от одного поста в твиттере эта валюта как может упасть на пару тысяч долларов, так и резко взлететь) С такими зависимостями от постов в сетях, весьма рисковое дело вкладываться в биток)
  5. uljo

    Монополии

    Для того, чтобы "отхватить" свою часть этого рынка, нужно предлагать то, чего нет на хакерване и BugCrowd
  6. Ранее
  7. cul8er

    Пентест

    Команда пентестеров (все с OSCP) ищет белые варианты сотрудничества на проектной основе. Ransom партнёрки и другие схожие направления не предлагать. Пишите в личку.
  8. cul8er

    Монополии

    Особо ни при чём. Просто как-то плавно на обсуждение платежных систем перешли)
  9. dzmitry

    Монополии

    А причем тут AWS и Google Pay к ББ ?
  10. Максим

    Монополии

    А я столкнулся с проблемой валидации на AWS. На номера +375....... не отправляют sms. Решил проблему через внешний "костыль". Предпологаю, что крупные вендоры оценивают свои риски и не горят желанием связываться с "серой зоной" на карте.
  11. Совместный поиск и решение проблем при использовании специального ПО. Прошу придерживаться принципов корректности и гумманости
  12. Примеры использования специального ПО для проведения аудита ИБ. Напоминаю о соблюдении законодательства и инстинкта самосохранения.
  13. Обсуждение возможностей и "лучших практик" использования специального программного обеспечения для аудита, оценки состояния ИБ и пен-тестирования ИС
  14. Обсущжение специальных дистрибутивов для оценки состояния ИБ и проведения пен-тестирования
  15. cul8er

    Монополии

    Я недавно с удивлением обнаружил, что Беларусь отключена от Гугл Пэй. Причём до такой степени, что даже через VPN скачать не даёт...
  16. dzmitry

    Монополии

    Все отлично работает, Беларусь в списке стран куда можно получать деньги. Лучше всего использовать Payoneer с BSB банком.
  17. Прошли те старые добрые времена, когда волшебным добрым набором слов "union select all" можно было уговорить сервер отдать что-то полезное. Но всё равно не перестаю проверять на всех ресурсах хотя бы /' и /admin. Но надо сказать, работает всё реже. Изредка какой-нибудь друг забудет тестовый админский акк снести, но это, разумеется, в порядке редкого исключения. А какие старые добрые проверенные любимые SQL injection используете вы?
  18. cul8er

    Kali Linux

    Небольшой философский вопрос! Ну вот зачем в Кали под сотню утилит, если всё равно все используют только 5-10?))) Чё за экзотика?
  19. cul8er

    Монополии

    Никто не любит монополистов. Однако они регулярно заводятся сами по себе. Вот например вполне уважаемые конторы BugCrowd и HackerOne. Всё стандартно: кто первый пришёл, того и валенки))) застолбили рынок багбаунти плотно и практически в два лица кушают все AppSec программы крупных вендоров. Есть у кого-нибудь положительный опыт работы с ними? Я имею в виду не только регистрация, но и фактическое получение денег на свой счёт.
  20. Сами себе придумали, сами нормально раскрутили. Сами торгуются. По сути воздух воздухом. Феномен культуры цифровизации. Из разряда - а ты веришь или не веришь? И типа стал неким ликвидным вполне себе активом. Ну вот как?)) Однако же не пропадает и не схлопывается. Даже стрёмно представить, какими объёмами долларов сейчас исчисляются накопления того, кто стоял у истоков сей пирамиды. Отсюда закономерный вопрос: а под силу ли абстрактному любителю провернуть такое? Или же это сознательное смещение фокуса с раздутого фондового пузыря на новую сущность и хайповых сливок с нового незримого продукта? Причём гораздо более незримого чем фьючерсы те же. Такое количество денег порождает немифическую власть.
  21. Ну вы в курсе про события месячной давности. Американская труба, интернациональный рэнсом в формате партнёрки - и потом пропадание Ривилов с радаров, отъём "кровных" битков и прочие вторичные санкции типа запрета тем на XSS. Однако что на самом деле произошло? Реально спецслужбы США толково отработали или же партнёрка самостоятельно выпилилась под шумок? Обнулив счета в битках. Предлагаю подискутировать на данную тему. Сам считаю обе версии одинаково вероятными. Технические разборы ситуации не попадались. Только заявления общего характера.
  22. cul8er

    Просто поболтать

    Спасибо, добрый админ) готовься пространство на сервере докупать!)
  23. cul8er

    Проверка кода по требованию ИБ и выявление НДВ

    Хорошая комплексная статья, которая в целом достаточно детально раскрывает тему
  24. Максим

    Проверка кода по требованию ИБ и выявление НДВ

    Анализ кода по требованиям информационной безопасности – не менее важный этап разработки, чем комплексное тестирование в рамках проведения опытной эксплуатации. Он позволяет выявлять уязвимости информационной безопасности, умышленно или неумышленно допущенные при разработке. Особенно это актуально для критически важных объектов инфраструктуры, автоматизированных систем управления и образцов вооружения. В настоящее время, в основном применяются следующие методы анализа безопасности исходного кода: динамический метод - метод анализа безопасности программного обеспечения, требующий выполнения программ на специальном стенде, с доступом к исходному коду и среде его функционирования; статический метод – метод анализа безопасности программного обеспечения с доступом к исходному коду и не требующий выполнения программ; гибридный метод – метод, совмещающий два предыдущих метода. Реже применяется метод ручной инспекции кода (code review), фаззинг-тестирование и другие. Дополнительными мерами, применяемыми для анализа и повышения уровня информационной безопасности, можно считать использование: систем управления версиями и ветками релизов (SVN и Git); систем отслеживания ошибок (bug tracking system); систем непрерывной интеграции и непрерывного развертывания (CI/CD). Для повышения уровня безопасности кода используются следующие общие требования: Проверка всех входных и выходных данных. Запрет на предоставление пользователю избыточных данных. Максимально допустимое ограничение прав пользователя. Ведение журналов безопасности и действий пользователей. Ограничение действий пользователей по принятию не регламентированных решений. Контроль кода на избыточность. Контроль версий, квот и буферов. Использование стандартных средств операционной системы. Безопасное создание и удаление временных файлов и переменных. Запрет на использование внутрикорпоративных названий. Кроме того, вырабатываются общие рекомендации безопасного написания кода для разработчиков. Например: Использовать стили программирования и стандарты безопасного написания для конкретного языка. Минимизировать использование внешнего кода от сомнительных или неизвестных источников. Учитывать предупреждения компилятора.  Проектировать с возможностью разделения привилегий.  Придерживаться простоты в проектировании и разработке.  Создавать предсказуемые конструкции, обладающие гибкостью и масштабируемостью (концепция SOLID). По умолчанию запрещать и использовать наименьшие из возможных привилегий.  Исключать лишнюю информацию при взаимодействии с внешними системами. Организовывать защиту на всех уровнях.  Использовать системы контроля качества кода, системы управления версиями и ветками релизов, системы отслеживания и управления ошибками, системы непрерывной интеграции и непрерывного развертывания. В большинстве случаев анализ защищенности программного обеспечения включает в себя следующие стадии: 1. Анализ защищенности методами «черного» и «серого ящика», т.е. динамический анализ безопасности программного обеспечения без доступа к исходному коду: метод «черного ящика» направлен на поиск уязвимостей, использование которых позволяет не имеющему никаких привилегий злоумышленнику реализовать следующие виды угроз: получение несанкционированного доступа к информации, полный или частичный контроль над приложением и его использование для организации атак; метод «серого ящика» аналогичен предыдущему, с тем лишь исключением, что под злоумышленником подразумевается пользователь, обладающий определенным набором привилегий. 2. Анализ защищенности методом «белого ящика» - динамический и статический анализ безопасности исходного кода. Выполняется анализ исходного кода с помощью специализированного программного обеспечения (анализаторы исходного кода), позволяющего фиксировать подозрения на уязвимости. Для разных языков и платформ используются различные анализаторы. На этом этапе особое внимание уделяется следующим «чувствительным местам» в коде: механизмам валидации и нормализации вводимых данных; механизмам аутентификации и авторизации; механизмам криптозащиты; механизмам защиты хранимых данных на предмет предотвращения несанкционированного доступа; протоколам обмена данными между клиентскими и серверными частями программного обеспечения. 3. Разработка рекомендаций и итогового отчета. Перечень актуальных уязвимостей строится на основе отчетов работы специального программного обеспечения и журналов работы специальных стендов (песочниц), материалов свободных исследовательских групп по поиску уязвимостей, каталогов уязвимостей, в частности: CERT, CVE, WASC, OWASP, OSVDB и т.д. Для каждой уязвимости описываются возможные последствия ее эксплуатации. Вырабатываются предложения по устранению уязвимостей, выявленных в ходе анализа защищенности, или снижению ущерба от их реализации. 4. Проверка корректности устранения выявленных уязвимостей. Проводится проверка наличия выявленных уязвимостей и оценка эффективности принятых мер по их нейтрализации. Подготавливается отчет о проверке корректности устранения выявленных уязвимостей. Комплексный подход, создание ведомственного подразделения разработчиков, использование современных методов и «лучших практик» программирования, анализ программного обеспечения на отсутствие недекларированных возможностей позволяет минимизировать угрозы информационной безопасности в корпоративном программном обеспечении.
  25. В теме обсуждается опыт по оценке соответствия программного кода требованиям ИБ и выявлению НДВ
  26. Друзья, напомню, что на платформе БагБаунтиБай регулярно появляются интересные заказы. Причем от вполне себе именитых компаний. Так, недавно клиентами платформы стали Mozilla и Protonmail. А немногим позже БагБаунтиБай получила разрешение на начало тестирования ресурсов Mail.Ru Group. Это лишь некоторые из клиентов платформы. И впереди - множество новых крутых заказов! Не забывайте проверять, не появилось ли что-нибудь новенькое
  27. cul8er

    Добро пожаловать

    Ответил как мог)))
  1. Загрузить больше активности
  • Рассылка

    Хотите узнавать о наших последних новостях и информации?

    Подписаться
×