Как стать автором
Обновить
264
0
Лука Сафонов @LukaSafonov

информационная опасность

Отправить сообщение

Включу душнилу: каноничнее будет "эксплоит к уязвимости нулевого дня".

Это не киберполигон, это стенд и среда мониторинга к нему. Киберполигон это как минимум связная архитектура, а не одинокий сервер/сервис. В качестве готового примера - вот https://github.com/Orange-Cyberdefense/GOAD. В качестве средств аналитики/мониторинга попробуйте либо HELK (немного устаревший), либо комбайн на базе Kali Purple.

К слову, гугол тоже не принимает open redirect'ы без серьезного импакта.

Теперь ждем премиум лакшери подписку, где это можно отключить.

Вот тут понятнее написано: он использует совокупность признаков виде хеша, если хеш изменился - значит кто-то подменил AC.

Вообще существует несколько утилит для детекта rogue AP/evil twin и прочих атак.

Много комментариев про благотворительность - подтверждаю, Тиньков Банк, в рамках своей bug bounty программы, по просьбе багхантера на площадке bugbounty.ru , перечислил денежные средства в благотворительный фонд: https://t.me/bugbountyru_chat/1832

Круто осознавать, что наша платформа не только помогает компаниям находить уязвимости, но и становится проводником добрых дел. Не так давно один из исследователей bugbounty.ru помог Тинькофф выявить уязвимость в их сервисе, что позволило оперативно её закрыть и повысить безопасность обслуживания клиентов. В качестве поощрения Тинькофф по своей программе bug bounty выделяет бонусы багхантерам, при этом получатель при желании может отказаться от своего вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличивает сумму в 5 раз и отправляет ее в один из проверенных фондов, который исследователь может выбрать на сайте Тинькофф в разделе «Благотворительность». Так и поступил один из багхантеров проекта, пожертвовав свой бонус, который был увеличен до 675 тыс. рублей, в один из благотворительных фондов.

Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.

Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.

Отчеты под NDA, лучше писать нормальные, хотя бы по такому гайду: https://xakep.ru/2021/04/28/best-pentest-report/

  1. Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.

  2. Я указал это в статье - "вымогательство вознаграждений".

  3. Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.

Олды помнят, даже проблемы одинаковые решали:

https://habr.com/ru/company/pentestit/blog/331406/

Всем заинтересовавшимся у Антона был целый цикл статей на эту тему: https://habr.com/ru/users/antgorka/posts/

Yubikey отличный токен, но пару ложек:

  • они сильно подорожали

  • при этом их нет в наличии.

У меня чувство deja vu: https://habr.com/ru/post/336596/. Такое ощущение что был потерян пласт знаний и сейчас потомки по крупицам воссоздают информацию о netcat, aircrack-ng и прочем.

09.05.21 сдал багу, 04.11.21 они ее закрыли после длительной переписки с абсолютно непонимающим саппортом. В HoF добавили, про вознаграждение я даже не стал им писать.

https://support.apple.com/ru-ru/HT201536

03 Nov 2021: Luka Safonov A server configuration issue was addressed.

Описание абсолютно не соответсвует зарепорченной баге.

Именно в этом наборе использовался Зауер м30 (ружье Геринга), уверен, кто-то в КБ вспомнил эту идею и модифицировал ее под космические реалии.

Идею ТП-82 взяли с «набора выживания люфтваффе»,

концепцию мультикалиберного ствола с Sauer m30

Писать нужно не в чат (это поддержка функционала, а не information security), а вот сюда: https://www.gosuslugi.ru/security.txt

На нашей прошлой платформе их было всего несколько сотен, это немного. Вероятно, просто их экспертиза исчерпала себя.

На какой платформе если не секрет? Для многих хантеров "старая" (а год это старая) программа = все вычистили до нас, а учитывая

Средний размер вознаграждения составлял примерно 423$.

это нецелесообразная трата времени и сил. Да и просто могло быть неинтересно.

Хостинг-платформа - довольно специфичный сервис, с регистрацией, верификацией данных и оплатой. Предоставляли ли вы исследователям полноценные аккаунты для тестирования?

Во-вторых, все наши сервисы, заявленные в программе, русскоязычные, а большая часть аудитории платформы — англоговорящие багхантеры. Скорее всего, им просто было сложно ориентироваться в наших сервисах и не так интересно.

Get on the list Leave your name and email address here and be amongst the first to receive an update when we need researchers to join us.

Хантеров на нашей новой платформе больше, и главное — они другие! А значит, новый опыт, новые инструменты, знания и новые уязвимости!

Я вам открою страшную тайну - скилловых хантеров ограниченное количество, как и методов и инструментария. Если они особо не ищут хантеров, а судя по регистрации это так, то за ними или стоит коммюнити или здесь что-то не так.

Из вашей предыдущей статьи

Перед нами стояла задача: поднять систему информационной безопасности на новый, более качественный уровень и не потратить при этом слишком много денег.

к сожалению такой подход не работает.

Выводы в конце статьи в целом верные, надеюсь в будущем сможете рассмотреть и российскую платформу - bugbounty.ru.

Описанные кем? Про внедрение js и компрометацию third-party сервисов тоже прекрасно понимаю, например почти весь js тянется с gu-st.ru и т.д., но статья не претендует объять необъятное и никто мне не платил (хотя выше в каментах свечку держали) ни за написание, ни за полноценный аудит приложения и смежных сервисов.

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Работает в
Дата рождения
Зарегистрирован
Активность