В погоне за багами: на кого охотились и как зарабатывали белые хакеры
В мае 2022 года мы запустили собственную платформу для поиска уязвимостей за вознаграждение — Standoff Bug Bounty. С тех пор она стала крупнейшей российской площадкой багбаунти: более 18 тысяч независимых исследователей безопасности из России и других стран сдали на ней свыше 8 тысяч отчетов....
Что на неделе: новые фичи Samsung Galaxy S25, роборука для пианистов и мозговой чип от депрессий
Утро, кружка кофе или чая и немного приятных новостей — всё, что нужно для плавного входа в рабочую неделю. Я, Олег Малахов из AGIMA, по традиции собрал для вас недавние события из мира технологий: всё самое оптимистичное и любопытное за прошедшие семь дней — в этом дайджесте. Читать далее...
SmartFlow: «В начале был пароль...» или новая аутентификация VK ID
Привет, Хабр! Исторически сложилось, что первым способом аутентификации (в 1960-х) с появлением доступных компьютеров стал пароль. О рисках его использования и об изобретённых человечеством альтернативах мы подробно рассказали в статье о будущем беспарольной аутентификации. Этот подход к проверке...
Ломаем текстовую капчу на примере VK или брутфорсинг до сих пор актуален
Что мы знаем о капче? Капча - автоматизированный тест тьюринга, помогающий отсеивать подозрительные действия недобросовестных роботов от реальных людей. Но, к сожалению ( или к счастью, смотря для кого ), текстовая капча сильно устарела. Если еще 10 лет назад она была более-менее эффективным...
Вознаграждения в Bug Bounty VK, или Как мы работаем с деньгами
Привет, Хабр! В прошлой статье я рассказал о том, как правильно искать уязвимости и составлять отчёты для программы Bug Bounty VK, сегодня я хочу раскрыть тему вознаграждений. Если тебе интересно узнать, почему с точки зрения владельца программы и багхантера это два абсолютно разных процесса и...
Как за неделю превратить Open redirect в RCE
В этой статье я расскажу вам о том, как ровно год назад я связал в цепочку несколько проблем безопасности для достижения Удаленного выполнения кода (RCE) на нескольких серверах компании VK. Я постарался описать свои шаги в подробностях, так как мне самому, как постоянному читателю отчетов по...