Недавно мы запустили платформу The Standoff 365 Bug Bounty, объединяющую компании и исследователей безопасности для поиска уязвимостей и получения достоверной и независимой оценки защищенности бизнеса. Сегодня на нашей площадке уже зарегистрировалось более 770 белых хакеров со всего мира. На The Standoff 365 Bug Bounty они могут выбирать интересные задачи в соответствии со своим опытом и бэкграундом. Платформа позволяет этичным хакерам вносить вклад в развитие кибербезопасности и честно зарабатывать.
В рамках своей программы bug bounty, стартовавшей на платформе два месяца назад, мы, например, предлагаем проверить защищенность наших корпоративных сайтов ptsecurity.com и partners.ptsecurity.com, а за обнаруженные уязвимости готовы заплатить до 393 тыс. рублей. Чем критичнее будет найденный исследователем баг, тем большее вознаграждение он получит.
Собственную программу на The Standoff 365 Bug Bounty также запустила «Азбука вкуса». В ближайшее время еще четыре крупные российские компании разместят на нашей площадке свои bug bounty (следите за нашими новостями в Телеграме).
Мы расспросили шестерых прокачанных багхантеров, на счету которых сотни обнаруженных уязвимостей в системах известных компаний (в том числе с присвоенными CVE) и которые одними из первых присоединились к The Standoff 365 Bug Bounty, о том, какие ресурсы помогают им прокачивать навыки в offensive security и оперативно узнавать о новых ресерчах, техниках и эксплойтах. Надеемся, подборки Circuit, Ustinov, Zctym92, Fi5t, Impact и еще одного исследователя, пожелавшего сохранить инкогнито, помогут обнаружить те самые баги, которые принесут вам солидное денежное вознаграждение, признание комьюнити и публичную благодарность от известных компаний.
Эффективный поиск XSS-уязвимостей — полезный доклад Ивана Румака о XSS-уязвимостях, в котором он делится своей методологией поиска таких уязвимостей, рассматривает потенциально уязвимые части веб-приложений и показывает, как создать универсальную полезную нагрузку для обнаружения XSS. Также на Хабре есть текстовая версия его доклада.
Кавычка — телеграм-канал о практической безопасности, в котором публикуются новости об уязвимостях и атаках на веб-приложения.
Bug bounty chat — англоязычный чат, посвященный поиску уязвимостей (более 2 тыс. участников).
Шпаргалка по векторам XSS на GitHub.
Ustinov подписан на следующие ресурсы:
The Bug Bounty Hunter — англоязычный телеграм-канал, где публикуют новости о самых интересных обнаруженных исследователями уязвимостях. На канал подписано более 22 тыс. пользователей.
PortSwigger — бесплатные лабы от Web Security Academy с заданиями по 23 типам уязвимостей, включая SSRF, CSRF и DOM-based XSS. Можно выбрать любой уровень сложности — от ученика до эксперта.
SQLI labs для тестирования на основе ошибок, слепых логических значений, времени на PHP 5 и PHP 7.
Напоминаем, что на The Standoff 365 Bug Bounty исследователи впервые смогут получать награды не только за отдельные уязвимости, найденные в IT-сетях, системах и приложениях, но и за способы реализации недопустимых для компаний событий. Подробнее об этом читайте здесь.
Блог Сергея Тошина, хакера #1 в программе вознаграждений Google за поиск уязвимостей в приложениях Play Store (Google Play Security Rewards Program).
Тематические телеграм-каналы:
Freedom F0x и Интернет-розыск — периодически в этих каналах появляются ссылки на полезные материалы, книги и статьи.
Mobile AppSec World — телеграм-канал с новостями из мира безопасности мобильных приложений. Дают ссылки на интересные статьи, обзоры инструментов и доклады, а также анонсируют митапы.
Android Guards — русскоязычный телеграм-канал про безопасность Android-устройств и приложений, который веду я сам. Делюсь там статьями, исследованиями и другим проверенным контентом. Еще больше интересного можно найти на его YouTube-канале. Подписывайтесь!
InfoSec Write-ups — сборник статей от лучших хакеров мира на самые разные темы, включая bug bounty, CTF и проблемы современного оборудования. Является крупнейшим изданием по кибербезопасности на Medium.
Servicenger — профессиональный блог, посвященный поиску уязвимостей.
All Things Security — блог исследователя безопасности, который пишет в основном про Android и немного про веб-технологии и смежные с ними.
CMRodriguez — полезный блог консультанта по безопасности, который проводит пентесты мобильных и веб-приложений всемирно известных компаний.
Nightwatch Cybersecurity — блог компании, занимающейся тестированием на проникновение.
Quarkslab’s blog — довольно хардкорный блог ребят из одноименной компании, где они публикуют статьи по реверсу, пентесту и железу.
Serialize Thoughts — довольно интересный блог исследователя, который специализируется на безопасности мобильных приложений и обфускации. Является соавтором OWASP Mobile Security Testing Guide (MSTG).
erev0s — блог про мобильную и веб-безопасность, преимущественно offensive-направленности.
@OMESPINO — еще один блог о безопасности.
Taszk — блог команды исследователей из компании TASZK. Статьи выходят нечасто, но материалы очень качественные.
Take my hand — блог еще одного security-энтузиаста, который рассказывает о мобильной и веб-безопасности.
Guardsquare — блог, посвященный защите мобильных приложений.
The Binary Hick — площадка, на которой цифровой криминалист делится своим опытом.
Artsploit — блог, посвященный веб-уязвимостям, который ведет исследователь из PortSwigger.
Pentestmonkey — security-блог с широкой тематикой, где порой можно найти что-то интересное.
По признанию самого багхантера, постоянно следить за всеми новостями ему удается не всегда.
Impact (его профиль на GitHub)
Волосатый бублик — телеграм-канал со свежими ресерчами, эксплойтами и техниками.
Intigriti — твиттер-аккаунт Европейской платформы по поиску багов и уязвимостей.
Хактивити на HackerOne.
HackTricks — база знаний CTF-игрока, где он делится хакерскими приемами, техниками и всем, что узнал на CTF, а также последними исследованиями и новостями.
cs.github.com — улучшенный поиск по GitHub, который поможет не только найти секреты через ваши регулярные выражения, но и разобраться в неизвестной вам технологии или определить библиотеку, используемую на сайте.
Исследователь, пожелавший остаться анонимным
Pentester Land — разборы уязвимостей из программ bug bounty с 2010 года по настоящее время.
HackerOne — тут я читаю открытые отчеты исследователей.
Chaos — один из источников поддоменов.
Web Security Academy — бесплатное онлайн-обучение по веб-безопасности.
Hack the Box — масштабная обучающая онлайн-платформа по кибербезопасности, позволяющая улучшить навыки взлома. На ней практикуются специалисты со всего мира, компании и университеты. Помогает изучить исходный код множества различных приложений с открытым кодом на предмет уязвимостей.
Кстати, это не исчерпывающий список полезных ресурсов по bug bounty. Еще больше курсов, лаб и руководств по тестированию, блогов и форумов, а также книг, подкастов и телеграм-каналов, посвященных анализу защищенности приложений, вы найдете здесь.
Пользуйтесь на здоровье :)
Желаем удачи в охоте за багами!
