#bug_bounty — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #bug_bounty, aggregated by home.social.
-
Рынки монетизации уязвимостей
Данные об уязвимостях в программном обеспечении или инфраструктуре — важнейшая информация. Она может быть использована как для усиления защиты систем, так и для проведения кибератак. Существует несколько рынков продажи сведений об уязвимостях. Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них. Нелегальный связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем. В этой статье мы расскажем про устройство этих рынков: их общие черты, ключевые различия и влияние на сферу кибербезопасности.
https://habr.com/ru/companies/pt/articles/1056278/
#дарквеб #уязвимости #багхантинг #багбаунти #bug_bounty #standoff_bug_bounty #hackerone #теневой_рынок #эксплойты #кибериспытания
-
Организовал весь пентест-арсенал в одном месте: всё под рукой, офлайн и на русском
Привет, Хабр. Я Александр, мне 33. Хакинг у меня хобби, а не работа: CTF, Hack The Box, иногда багбаунти по выходным. И каждый раз одно и то же. Открываешь тулзу — первым делом —help . Флагов экран, все на английском. Сидишь, вычитываешь, что тебе сейчас нужно. Собрал один флаг, переключился на второй — а как пишется первый, уже забыл. Снова —help . И по новой. На сборку одной команды уходит больше времени, чем на саму работу. Команду собрал. А дальше? nmap отработал, передо мной открытые порты — и я завис. За что хвататься? В каком порядке? Это знание у каждого где-то в голове, и достаёшь его каждый раз заново. Словарь. И где он лежит-то. /usr/share/wordlists ? seclists ? А подкаталог? Опять ls , find , вспоминаешь путь, который вбивал сто раз. Пейлоад. Лезешь в PayloadsAllTheThings — а там стена. Какой брать? На каком этапе? Что выстрелит, а что лежит для галочки? Непонятно. И так весь тест размазан по тридцати вкладкам. HackTricks, PayloadsAllTheThings, GTFOBins, revshells, рядом гугл с переводчиком — половина же на английском. Плюс папка своих заметок. Бесит. Особенно на вебе: нашёл точку, надо быстро прогнать пейлоады — а ты вместо дела вспоминаешь, где у тебя что лежит. В какой-то вечер я психанул и начал сваливать всё нужное в одно место. Локально, на русском, поиск по одной кнопке. Оно разрослось, и я сам не заметил, как это стало отдельным проектом. Выложил в опенсорс. Назвал ARS3NAL — тут без фантазии, арсенал он и есть арсенал.
https://habr.com/ru/articles/1052866/
#пентест #bug_bounty #open_source #информационная_безопасность #pentest #GTFOBins #CyberChef #payloads #методология_тестирования #ARS3NAL
-
WebScan v2.0: от идеи до pip install за одну неделю — путь, ошибки и бенчмарк
Предыстория 1 день назад я опубликовал первую статью про WebScan из Песочницы Хабра. Честно — не ожидал ничего особенного. Думал придут 50 человек, может кто-то поставит звезду на GitHub. Вышло иначе. За первые сутки статью прочитали 548 человек. Потом пошли 10К охват, закреплённый пост на канале с 29К подписчиков, Google AI который начал рассказывать про WebScan всем кто спрашивал про bug bounty инструменты на Python. И 12 звёзд на GitHub от людей которых я не знаю. Это была лучшая мотивация чтобы не останавливаться. Честно о трудностях Я подал заявку на Cyber Verification Program от Anthropic чтобы использовать Claude без блокировок для кибербезопасности. Отказали за час. Причина — случайно нажал No на вопросе про MFA. Одна кнопка, один отказ. Coverage был 84% — я думал 87%, оказалось это была progress bar pytest а не реальная цифра. Nuclei на Go оказался медленнее WebScan на Python. Я сам не верил пока не провёл бенчмарк. Имя webscan на PyPI уже занято. Пришлось переименовать в webscan-security. Всё это решалось — просто не всё шло по плану. Что изменилось за неделю v1.0 → v2.0 это не просто версия. Это другой инструмент. Плагины: 7 → 19 Добавились: XSS, Blind SQLi, Path Traversal, Open Redirect, SSRF, GraphQL интроспекция, SSL/TLS анализ, Tech Fingerprint, Subdomain Enumeration через DNS и crt.sh, CVE lookup через NVD API (350,000+ уязвимостей в реальном времени), Secrets detection (AWS, OpenAI, Anthropic, GitHub ключи в исходниках). Crawler WebScan теперь сам обходит цель — парсит ссылки, формы, JavaScript эндпоинты. Раньше сканировал только то что ему давали. Теперь сам находит что сканировать.
https://habr.com/ru/articles/1047438/
#python #bug_bounty #пентест #безопасность #cli #open_source #сканер #nikto #nuclei #webscan_technologies
-
Открытый CLI-инструмент для bug bounty на чистом Python — архитектура и разбор плагинов
WebScan — асинхронный CLI-сканер безопасности на чистом Python. За неделю вырос до 15 плагинов: XSS, SQL инъекции, CORS, Path Traversal, SSRF, утечки API ключей и многое другое. Safe Mode, proxy, SOCKS5, пять форматов отчётов включая SARIF. В статье разбираю архитектуру и сравниваю с Nikto.
https://habr.com/ru/articles/1047136/
#python #bug_bounty #пентест #безопасность #cli #open_source #сканер
-
Race Condition в веб-приложениях: три типа уязвимости и как их находить
Для начала разберёмся, что такое Race Condition и почему эта уязвимость заслуживает внимания. Race Condition — это класс уязвимостей, которые возникают из-за того, что сервер обрабатывает несколько запросов одновременно без должной синхронизации. Когда два или более запроса приходят на сервер в один и тот же момент и затрагивают одни и те же данные, между ними происходит коллизия. Результаты такой коллизии могут быть разными — от незначительных багов до критических уязвимостей, которые позволяют обойти проверки безопасности, списать средства дважды, получить доступ к чужому аккаунту или превысить установленные лимиты. Перейдём к тому, какие виды этой уязвимости вообще бывают. Можно выделить 3 вида:
https://habr.com/ru/articles/1044830/
#Race_Condition #гонка_состояний #TOCTOU #веббезопасность #bug_bounty #Burp_Suite #Turbo_Intruder #singlepacket_attack #account_takeover #уязвимости
-
Системный промпт или галлюцинация: как я проверял AI-ассистентов и что ответили bug bounty-команды
В марте я проверял, можно ли уговорить AI-ассистентов выдать что-то похожее на системный промпт. Ответы выглядели убедительно: внутренние правила, технические “дампы”, отчёты, почти готовые кейсы для bug bounty. Но ответы команд безопасности приземлили эксперимент: часть результатов оказалась галлюцинациями, часть — обходами ограничений, а не подтверждёнными уязвимостями. Читать разбор
https://habr.com/ru/articles/1043618/
#AIассистенты #системный_промпт #галлюцинации #bug_bounty #обход_ограничений #уязвимости #информационная_безопасность #языковые_модели #Алиса #GigaChat
-
Всё об информационной безопасности. Кибербезопасность. DevOps, CI/CD. Хакеры. Алексей Федулаев
Информационную безопасность часто представляют как скучную «айтишную охрану» — поставил антивирус, настроил пароли и можно спокойно спать. В реальности это высокотехнологичная сфера, где каждый день идут настоящие боевые действия: уязвимости в коде, сложные DevSecOps-процессы, защита миллионов рублей и репутации крупных компаний. Я, Александр, автор телеграм-канала « Shulepov Code », поговорил с Алексеем Федулаевым — руководителем отдела облачной безопасности МТС Web Service, бывшим руководителем ИБ в Wildberries, автором Telegram-канала « Ever_Secure » и постоянным спикером профильных конференций – о том, как на деле устроена профессия: от детского взлома родительских паролей до защиты корпоративных облаков, почему DevSecOps-специалисты входят в топ самых высокооплачиваемых ИТ-профессий и как в этой сфере не выгореть, когда угрозы появляются каждый день.
https://habr.com/ru/articles/1039608/
#информационная_безопасность #кибербезопасность #DevSecOps #облачная_безопасность #DevOps #карьера_в_ИБ #bug_bounty #red_team #Kubernetes_security #пентест
-
Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)
50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.
https://habr.com/ru/articles/1030812/
#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест
-
Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора
Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus?
https://habr.com/ru/articles/1028196/
#cursor_ide #security_research #prototype_pollution #protobuf #grpc #connectrpc #cve #reverse_engineering #ai_security #bug_bounty
-
Начинаем в багбаунти: file upload — больше, чем просто картинка
Привет, Хабр! На связи Олег Уланов (aka brain), багхантер и ведущий подкаста «Начинаем в багбаунти». Кстати, по итогам 2025 года стал топ-1 площадки Standoff Bug Bounty. Этот материал мы подготовили вместе с Дмитрием Прохоровым, пентестером из PT SWARM (в мире багхантинга Дима известен как ratel_xx). В статье речь пойдёт о поиске уязвимостей через загрузку файлов. Вы узнаете, как устроен механизм multipart/form-data, какие защитные механизмы ставят разработчики и как их обходить. Я покажу на практике, что можно сделать с расширениями файлов, Content-Type, magic bytes, а заодно затрону эксплойты типа race condition, zip-слайп и нестандартные векторы вроде загрузки .htaccess. Статья подойдёт для начинающих багхантеров, поэтому даже если у вас мало опыта смело заглядывайте под кат!
https://habr.com/ru/companies/pt/articles/1021224/
#bug_bounty #file_upload #burp #standoff_bug_bounty #standoff_365
-
Начинаем в багбаунти: как найти ошибки в бизнес‑логике
Всем привет! Меня зовут Роман. В ИТ я больше семи лет: начинал с разработки, а теперь занимаюсь AppSec и параллельно пробую себя в багхантинге. Сейчас вхожу в топ-25 рейтинга на Standoff Bug Bounty. Здесь я выступаю как начинающий исследователь багов и буду рад поделиться своими наработками. Сегодня обсудим уязвимости бизнес‑логики — сложные и часто недооцененные ошибки, способные привести к серьезному ущербу. Разберем, как их находить, почему они опасны и что делает охоту за ними в багбаунти такой увлекательной. Погнали!
https://habr.com/ru/companies/pt/articles/1014346/
#bug_bounty #broken_access_control #race_condition #jwt #dos #standoff #bugs #api #fuzzing #auth_bypass
-
Первый месяц в Bug Bounty: итоги, цифры и выученные уроки
Введение Мой путь в ИБ начался с нуля - у меня не было опыта работы и образования в айти в целом, будь это системное администрирование или программирование. Я просто планомерно учился и сдавал сертификации. За три года у меня собрался определенный стек: OSCP, HTB CWES, CRTP, PNPT, PJPT, PJOR, CompTIA A+, Network+ и Security+. Когда пришло время искать работу пентестером, я столкнулся с реальностью: вакансий в моем регионе почти нет, а те, что находил, не приносили даже приглашений на собеседование. Профиль без практического опыта не вызывал интереса у работодателей. Чтобы начать нарабатывать реальный стаж, я решил попробовать себя в багхантинге. Основная цель была простой получить опыт и проверить свои знания в бою, а не в лабораторной среде. Ну и, конечно, был интерес заработать репутацию практика и получить первые выплаты. Выбор площадки Я решил начать с локальной казахстанской платформы RTeam. На мировых площадках вроде HackerOne меня пугала огромная конкуренция - казалось, что новичку там делать нечего, всё уже найдено до меня. Я не смогу конкурировать с лучшими хакерами из всего мира. На RTeam у меня была программа с маленьким скоупом. Первое время я не столько искал баги, сколько экспериментировал, пробовал применять методы, о которых недавно узнал, изучал новые тулзы в багхантинге. Я не ставил задачу сразу найти уязвимости, а старался больше вникнуть в то, как всё устроено. Месяц в цифрах Изначально мои ожидания были скромными: я надеялся найти хотя бы одну небольшую уязвимость. В итоге за месяц активной работы получилось отправить 9 отчетов.
https://habr.com/ru/articles/993926/
#информационная_безопасность #bug_bounty #безопасность_вебприложений #пентест #oscp
-
Амбассадор Standoff: как за год ворваться в топ-5 площадок Bug Bounty?
Всех приветствую! Ещё год назад я играл в CTF и работал как SOC-аналитик L1, а сегодня в компании «Газинформсервис» занимаюсь тестированием веб-ресурсов. В свободное время багханчу, и больше слов о моих успехах скажет статистика в профиле амбассадора Standoff. На Standoff Talks я выступил с докладом об эффективном поиске уязвимостей и хочу поделиться этим опытом здесь.
https://habr.com/ru/companies/gaz-is/articles/963272/
#информационная_безопасность #газинформсервис #bug_bounty #тестирование
-
Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает
Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере», отчёты закрываются как «дубликаты» без доказательств, а правила меняются постфактум. Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера — нет прав.
https://habr.com/ru/articles/960024/
#bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж #фз152 #персональные_данные #национальный_мессенджер #багхантинг
-
ChatGPT Guessing Game Leads to Users Extracting Free Windows OS Keys and More
https://0din.ai/blog/chatgpt-guessing-game-leads-to-users-extracting-free-windows-os-keys-more
#ycombinator #genai #bug_bounty #bug_bounty_program -
ChatGPT Guessing Game Leads to Users Extracting Free Windows OS Keys and More
https://0din.ai/blog/chatgpt-guessing-game-leads-to-users-extracting-free-windows-os-keys-more
#ycombinator #genai #bug_bounty #bug_bounty_program -
От HackerOne к родным берегам: как меняется российский багхантинг
Российский рынок Bug Bounty переживает интересные времена. После ухода таких гигантов, как HackerOne, отечественные площадки начали развиваться гораздо активнее. Интерес к локальным платформам растет и со стороны компаний, и со стороны исследователей. Всё больше багхантеров начинают присматриваться: что вообще происходит на рынке? Какие платформы на слуху? И почему Bug Bounty вдруг стал интересен не только крупным корпорациям, но и среднему бизнесу? На связи Алексей Гришин, директор по развитию сервисов кибербезопасности в Бастионе. В этой статье — честный разбор того, как устроен российский рынок Bug Bounty с точки зрения исследователя. Я расскажу, какие нюансы стоит учитывать при работе с отечественными платформами, чем наши площадки отличаются от зарубежных аналогов, и каковы перспективы развития этого направления в России. Готовы погрузиться в мир белого хакинга по-русски? Тогда начнем!
https://habr.com/ru/companies/bastion/articles/925634/
#bug_bounty #bug_bountyпрограмма #багбаунти #обзор_bug_bountyплатформ #багбаунти_платформы #багхантинг #российский_рынок_Bug_Bounty
-
[Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git
Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.
https://habr.com/ru/companies/bastion/articles/916752/
#удаленные_объекты_git #восстановление_файлов_в_git #bug_bounty #утечка_секретов #анализ_репозиториев #инструменты_багхантеров #багбаунти_на_GitHub #TruffleHog #сканирование_репозиториев #безопасность_github
-
Как я нашел уязвимость в онлайн казино и получил $20 000 в качестве награды
Сегодня расскажу про то, как мне удалось предотвратить возможную атаку на одно Австралийское онлайн казино, которое потенциально могло бы потерять $2.5 млн за ночь.
-
[Перевод] Мы взломали ИИ Gemini от Google и опубликовали его исходный код
В 2024 году мы опубликовали блог-пост We Hacked Google A.I. for $50,000 , в котором рассказали, как в 2023 году мы отправились в Лас-Вегас вместе с Джозефом «rez0» Тэкером, Джастином «Rhynorater» Гарднером и мной, Рони «Lupin» Карта, в настоящее путешествие по взлому, которое прошло от Лас-Вегаса через Токио до Франции – всё ради поиска уязвимостей в Gemini на мероприятии Google LLM bugSWAT. И, что вы думаете? Мы сделали это снова … Мир генеративного искусственного интеллекта (GenAI) и больших языковых моделей (LLMs) по-прежнему остаётся диким Западом в сфере технологий. С момента появления GPT гонка за лидерством в области LLM только накаляется, и такие технологические гиганты, как Meta, Microsoft и Google, стремятся создать лучшую модель. Но теперь на сцене появляются и Anthropic, Mistral, Deepseek и другие, оказывающие масштабное влияние на индустрию. Пока компании спешат внедрять AI‑ассистентов, классификаторы и всевозможные инструменты на базе LLM, остаётся один важный вопрос: строим ли мы системы с учётом безопасности? Как мы подчёркивали в прошлом году, стремительное принятие технологий иногда заставляет нас забывать о базовых принципах защиты, открывая дорогу как новым, так и старым уязвимостям. ИИ-агенты стремительно становятся следующим прорывом в мире искусственного интеллекта. Эти интеллектуальные сущности используют продвинутые цепочки рассуждений – процесс, в котором модель генерирует логически связанную последовательность внутренних шагов для решения сложных задач. Документируя ход своих мыслей, агенты не только улучшают способность принимать решения, но и обеспечивают прозрачность, позволяя разработчикам и исследователям анализировать и совершенствовать их работу. Такая динамичная комбинация автономного действия и видимых рассуждений прокладывает путь к созданию ИИ-систем, которые становятся более адаптивными, понятными и надёжными. Мы наблюдаем, как появляется всё больше приложений – от интерактивных ассистентов до сложных систем поддержки принятия решений. Интеграция цепочек рассуждений в ИИ-агентах задаёт новый стандарт того, чего эти модели могут достичь в реальных условиях.
https://habr.com/ru/articles/895546/
#google_gemini #уязвимость #взлом #исходный_код #rpc #протоколы #компьютерная_безопасность #хакер #хакерские_атаки #bug_bounty
-
We hacked Gemini's Python sandbox and leaked its source code (at least some)
https://www.landh.tech/blog/20250327-we-hacked-gemini-source-code/
#ycombinator #gemini #llm #google #source_code #leak #bug_bounty #hack -
We hacked Gemini's Python sandbox and leaked its source code (at least some)
https://www.landh.tech/blog/20250327-we-hacked-gemini-source-code/
#ycombinator #gemini #llm #google #source_code #leak #bug_bounty #hack -
We hacked Google's A.I Gemini and leaked its source code (at least some part)
https://www.landh.tech/blog/20250327-we-hacked-gemini-source-code/
#ycombinator #gemini #llm #google #source_code #leak #bug_bounty #hack -
We hacked Google's A.I Gemini and leaked its source code (at least some part)
https://www.landh.tech/blog/20250327-we-hacked-gemini-source-code/
#ycombinator #gemini #llm #google #source_code #leak #bug_bounty #hack -
[Перевод] Как мы взломали цепочку поставок и получили 50 тысяч долларов
В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой исследователи безопасности находят уязвимости и сообщают о них, получая за это вознаграждение. Однако я ещё не достиг уровня, позволившего бы мне быстро обнаруживать критические уязвимости цели. Этот уровень умений казался мне недостижимым. Но всё поменялось, когда я познакомился с человеком, ставшим ключевой фигурой в моей карьере баг-баунти: Snorlhax . Поначалу я видел в нём конкурента. Он был намного выше меня во французской таблице лидеров HackerOne , что стимулировало меня расти над собой. Мы начали общаться в Discord, и спустя несколько недель я рассказал ему о многообещающей программе баг-баунти. Вскоре после этого он обнаружил у этой цели критическую уязвимость, оценённую в 10000 долларов — сумму вдвое больше, чем максимальная полученная мной от этой же цели. Мотивировавшись этим, я вернулся к этой же цели и за ту же неделю нашёл собственную критическую уязвимость за 10000 долларов в другом классе багов. Вместо того, чтобы продолжать состязаться, мы решили сотрудничать. Теперь нашей задачей стало выявление у этой цели всех возможных классов багов: IDOR, SQL-инъекций, XSS, багов OAuth, Dependency Confusion, SSRF, RCE и так далее. Все их мы нашли, сообщили компании и написали отчёты. Это сотрудничество длилось несколько лет, и даже сегодня мы время от времени снова возвращаемся к этой цели. Однако недостижимой оставалась одна задача: обнаружение «чудовищной уязвимости». Это должен быть настолько критичный баг, что нам выплатят нестандартное вознаграждение, намного превышающее обычные выплаты. Это стало для нас главной целью. В посте я расскажу, как мы со Snorlhax наконец-то этого добились.
https://habr.com/ru/companies/ruvds/articles/885950/
#docker #npm #атака_на_цепочку_поставок #уязвимости #bug_bounty #багбаунти #ruvds_перевод
-
Слишком уж «Быстрый вход» в приложение Т-Банк на Android
Последние несколько лет я являюсь клиентом Т-Банка (в девичестве Тинькофф Банк) и использую их Android-приложение, наверное, каждый день. В декабре я обновил его из Huawei AppGallery, и что-то изменилось в моём пользовательском опыте… Мне стало казаться, что меня стали как-то слишком редко спрашивать отпечаток или PIN после запуска приложения тапом по иконке или по уведомлению. Так произошло раз, два, пять, и я невольно обратил на это внимание. А поскольку моя работа связана с информационной безопасностью, я решил немедленно настучать на плохое поведение разработчикам, тем более у них есть программа bug bounty . Сказано – сделано. Это было кринжевато, так как я не был на 100% уверен в своих словах, но я всё же написал о том, что меня как-то редко стали спрашивать отпечаток/PIN. У меня была включена опция «Быстрый вход», которая в приложении объяснена так: «Если вы используете отпечаток пальца или скан лица, у вас будет 5 минут, чтобы зайти в Т-Банк без авторизации». Без этой опции поведение было ожидаемым: каждое открытие приложения просило отпечаток/PIN, а вот с ней… Когда я думал, что отпечаток/PIN не нужен, то он не был нужен; когда я думал, что он нужен, он обычно почему-то был не нужен. Стал я экспериментировать, чтобы у меня был более членораздельный отчёт. Мой телефон разблокировался по отпечатку пальца или PIN, и внезапно оказалось, что «Быстрый вход» в приложении Т-Банка означает не то, что я думал. Я-то, наивный, рассуждал просто: залогинился в приложение – можешь его закрыть, но в течение 5 минут тебя пустят обратно без вопросов (кэширование аутентификации в рамках приложения). Мне казалось, что приложение раньше всё время так и работало, примерно до декабря. А теперь я наблюдал своими глазами нечто иное: если ты предъявил отпечаток для разблокировки телефона, то внезапно приложение Т-Банка будет пускать тебя внутрь без вопросов в ближайшие 5 минут! Что скажут безопасники?
https://habr.com/ru/articles/878176/
#тбанк #отпечаток_пальца #аутентификация #bug_bounty #быстрый_вход #авторизация #уязвимость #usability #информационная_безопасность #android_приложение
-
Crypto.com Launches a $2 Million Bug Bounty Program to Strengthen Security - https://www.redpacketsecurity.com/crypto-com-launches-massive-2m-bug-bounty-program/
-
Crypto.com Launches a $2 Million Bug Bounty Program to Strengthen Security - https://www.redpacketsecurity.com/crypto-com-launches-massive-2m-bug-bounty-program/
-
[Перевод] Как я использовал уязвимость «file upload» для достижения высокого уровня риска в Bug Bounty
Здравствуйте, коллеги! Одной из самых интересных функций в веб-приложениях является загрузка файлов . Уязвимости в этой области часто приводят к серьёзным последствиям. Давайте разберём один из сценариев, с которым я столкнулся во время работы.
https://habr.com/ru/articles/860808/
#bugbounty #bughunting #bug_bounty #информационная_безопасность
-
I hacked the Dutch government and all I got was this t-shirt
https://jacobriggs.io/blog/posts/i-hacked-the-dutch-government-and-all-i-got-was-this-t-shirt-24
#ycombinator #Dutch_government #NCSC_NL #bug_bounty #reward #swag #t_shirt #hacked #vulnerability #VDP -
I hacked the Dutch government and all I got was this t-shirt
https://jacobriggs.io/blog/posts/i-hacked-the-dutch-government-and-all-i-got-was-this-t-shirt-24
#ycombinator #Dutch_government #NCSC_NL #bug_bounty #reward #swag #t_shirt #hacked #vulnerability #VDP -
Prompt Injecting Your Way to Shell: OpenAI's Containerized ChatGPT Environment
https://0din.ai/blog/prompt-injecting-your-way-to-shell-openai-s-containerized-chatgpt-environment
#ycombinator #genai #bug_bounty #bug_bounty_program -
Prompt Injecting Your Way to Shell: OpenAI's Containerized ChatGPT Environment
https://0din.ai/blog/prompt-injecting-your-way-to-shell-openai-s-containerized-chatgpt-environment
#ycombinator #genai #bug_bounty #bug_bounty_program -
[Перевод] I в LLM означает Intelligence
Я уже давно ничего не писал об ИИ или том, как мы (не) используем его для разработки в нашем проекте curl. Больше откладывать нельзя. Хочу продемонстрировать вам наиболее значительный эффект, который ИИ может оказать на curl сегодня, подкрепив его примерами.
https://habr.com/ru/companies/ruvds/articles/836186/
#ruvds_перевод #llm #языковая_модель #curl #охота_на_баги #bug_bounty #искусственный_интеллект #машинное_обучение
-
Does your company have a Vulnerability Disclosure Program (VDP)?
For example a security.txt with a link to a web form or email address and some sort of triage process
-
Does your company have a bug bounty program?
-
Google paid $10M in bug bounty rewards last year
https://www.bleepingcomputer.com/news/google/google-paid-10-million-in-bug-bounty-rewards-last-year/
#ycombinator #computers #windows #linux #mac #support #tech_support #spyware #malware #virus #security #Android #Bug_Bounty #Bug_Bounty_Program #Google #Google_Chrome #Vulnerability #virus_removal #malware_removal #computer_help #technical_support