Безопасность мобильных устройств: интервью с экспертом Positive Technologies
Недавно в гостях у канала AUTHORITY побывал руководитель отдела перспективных технологий компании Positive Technologies Николай Анисеня. Поговорили с экспертом о безопасности мобильных устройств, о последних тенденциях и угрозах в области мобильной безопасности. Кроме того, Николай поделился...
[Перевод] Рекогносцировка для баг-баунти: 8 инструментов необходимых для эффективного сбора информации
Содержание Эта статья призвана помочь вам лучше понять, что нужно для эффективной рекогносцировки и поиска большего количества уязвимостей в вашей любимой баг-баунти программе. Рекогносцировка играет ключевую роль в баг-баунти, являясь первым этапом любого теста безопасности или теста на...
Ледибаг в деле. Как найти уязвимости в Android и попасть в топ белых хакеров Google
Ни для кого не секрет, что багхантинг с каждым годом набирает популярность, привлекая внимание как компаний, стремящихся повысить безопасность своих продуктов, так и белых хакеров, желающих применить свои технические навыки и заработать на поиске уязвимостей. Все больше компаний создают собственные...
Денежный вопрос: обсуждаем затраты на Bug Bounty с Лукой Сафоновым
Награда за обнаружение багов разного уровня зависит от сектора и типа уязвимости. Активнее всего с программами Bug Bounty работают IT-компании, онлайн-сервисы, сфера услуг, торговля, финансовые организации и блокчейн-проекты. Средняя сумма вознаграждения может составить: критический уровень...
Bypass CAPTCHA 1C-Bitrix
Еще давно, у меня был проект по анализу защищенности - веб приложение на 1С-Битрикс. В ходе поиска уязвимостей мне попалась капча в стандартной форме регистрации 1С-Битрикс, капча генерировалось вроде бы стандартно, но я решил её поисследовать и заметил один нюанс. Читать далее...
Что происходит с вашим отчётом внутри Bug Bounty от Ozon: статусы, метрики и почему всё так
Если вдруг вам негде провести код-ревью вашего проекта, присылайте код в программу Bug Bounty – там ваши наработки как минимум кто-нибудь посмотрит 🙈 Такой мем появился у нас в команде продуктовой безопасности Ozon после второго запуска Bug Bounty программы. Как и во многих шутках, в этой есть доля...
SAST для самых маленьких. Обзор open-source инструментов поиска уязвимостей для C/C++
Привет, Хабр! Навыки статического анализа кода в арсенале исследователя безопасности приложений фактически являются must-have скиллом. Искать ручками уязвимости в коде, не прибегая к автоматизации, для небольших проектов вполне быть может и приемлемый сценарий. Но для больших задач с миллионами...
Инструкция: как открыть программу баг-баунти и не облажаться
Перед тем как написать этот пост, я расспросил знакомых из разных IT-компаний и столкнулся с полярными мнениями. Одни горячо топили за bug bounty и говорили, что это чуть ли не лучший способ поддерживать безопасность (правда часто оказывалось, что программу открыли еще до их найма), другие уверены,...
[Перевод] Установка XSS Hunter
Публикуем перевод статьи Installing XSS Hunter и проверяем инструкцию на собственном примере. Спойлер: Всё работает! Читать дальше →...
Легкий способ заработать на Bug Bounty
Наверняка вы уже не раз слышали выражение «багхантинг», и я уверен, что вы бы не отказались заработать пару-тройку сотен (а то и тысяч) долларов, найдя в чужой программе потенциальную уязвимость. В этой статье я расскажу о трюке, который поможет исследовать проекты с открытым исходным кодом на...
Далее