Forwarded from VK Security
Media is too big
VIEW IN TELEGRAM
Не смогли попрощаться с Bounty pass в 2024 году, поэтому теперь Bounty pass – навсегда! 🔥
Мы ярко провели юбилейный для VK Bug Bounty год: запустили программу лояльности для багхантеров, отменили лимиты на максимальные выплаты благодаря накопительному бонусу, провели серию специальных ивентов... И поняли, что не время прощаться!
С этого дня мы запускаем Bounty pass: Forever!🎉
Что будет?
🛍 Накопительный бонус по уровню критичности: до +5% к каждому следующему вознаграждению. ☝️Запоминаем: чем больше находишь критических уязвимостей – тем больше бонус!
🗓 Срок действия бонуса – 1 год с момента сдачи отчета
➕ Все бонусы суммируются
🏆 Все участники Bounty pass в 2024 году получают 5% к каждому оплачиваемому отчету до конца 2025 года. А если багхантер отправил за год более 10 оплачиваемых отчетов или заработал более 1 миллиона рублей, то он получает на старте сразу 10%.
🎁 Мерч (как же без него 😏 ):
каждый квартал будем дарить крутой мерч всем багхантерам, которые сдадут 4+ оплачиваемых отчета или получат вознаграждение больше 400 000 рублей.
👉 Все детали новых условий собрали на новом сайте
Ждем ваши новые отчеты в программе VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!
@VK Security
#bugbounty #bountypass #forever
Мы ярко провели юбилейный для VK Bug Bounty год: запустили программу лояльности для багхантеров, отменили лимиты на максимальные выплаты благодаря накопительному бонусу, провели серию специальных ивентов... И поняли, что не время прощаться!
С этого дня мы запускаем Bounty pass: Forever!
Что будет?
каждый квартал будем дарить крутой мерч всем багхантерам, которые сдадут 4+ оплачиваемых отчета или получат вознаграждение больше 400 000 рублей.
Ждем ваши новые отчеты в программе VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!
@VK Security
#bugbounty #bountypass #forever
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🙏2
Привет всем!
Сейчас все тг-каналы переполнены поздравлениями и я решил добавить своё в общий котёл 😁
Кроме здоровья и остальных телесных благ, которые мы знаем наизусть, желаю вам также совершенствоваться в Вашем любимом деле и не перегорать :)
Хороших праздников!
P.S — поздравление на скриншоте — попытка написать самое клишированное поздравление, не без помощи ChatGPT)
Сейчас все тг-каналы переполнены поздравлениями и я решил добавить своё в общий котёл 😁
Кроме здоровья и остальных телесных благ, которые мы знаем наизусть, желаю вам также совершенствоваться в Вашем любимом деле и не перегорать :)
Хороших праздников!
😁6
А точнее не геншин, а HoYoverse.
Не первый раз нахожу, что крупные компании используют систему токенов для верификации почты или телефона (например HY и Mail).
Процессы схожие:
1. После регистрации пользователю выдается некий небрутабельный токен. Токен as is не является валидным (аналог phpsessid).
2. Пользователь верифицирует почту/телефон через запрос а-ля:
После этого токен валидируется и может быть использован для дальнейших действий.
В плане безопасности использование токенов позволяет избежать подделки данных при верификации. Но если управление токенами настроено неправильно, то атакующий может переиспользовать активированный токен в других аккаунтах.
Не первый раз нахожу, что крупные компании используют систему токенов для верификации почты или телефона (например HY и Mail).
Процессы схожие:
1. После регистрации пользователю выдается некий небрутабельный токен. Токен as is не является валидным (аналог phpsessid).
2. Пользователь верифицирует почту/телефон через запрос а-ля:
{
"token":"af12fbc4",
"code":123654
}После этого токен валидируется и может быть использован для дальнейших действий.
В плане безопасности использование токенов позволяет избежать подделки данных при верификации. Но если управление токенами настроено неправильно, то атакующий может переиспользовать активированный токен в других аккаунтах.
🔥3
Классическое соотношение полов в ИБ
https://yangx.top/ibnto/252
На данный момент 3% — лучший показатель)
https://yangx.top/ibnto/252
Telegram
ИБ - НТО
Немного цифр к финалу 2025 года
На данный момент 97 финалистов
94 мальчика и 3 девочки
На данный момент 97 финалистов
94 мальчика и 3 девочки
❤🔥3😘1
k3vg3n ch
А точнее не геншин, а HoYoverse. Не первый раз нахожу, что крупные компании используют систему токенов для верификации почты или телефона (например HY и Mail). Процессы схожие: 1. После регистрации пользователю выдается некий небрутабельный токен. Токен…
А вот и пример уязвимости токенов авторизации.
Account takeover в Zenly.
https://hackerone.com/reports/1245762
Account takeover в Zenly.
https://hackerone.com/reports/1245762
HackerOne
Zenly disclosed on HackerOne: Account Takeover via SMS...
An attacker could have taken over a future user account by abusing the session creation endpoint, which was consistently returning the same session token (although not yet valid) for the same user....
❤3
This media is not supported in your browser
VIEW IN TELEGRAM
Вчера каналу исполнился 1 годик :)
Изначально он подразумевался как хранилище райтапов, но потом добавились мемы, репосты и ресерчи.
В честь годовщины новая акция: вы можете написать пожелания/предложения/критику под этим постом, ну или в ЛС 😁
Изначально он подразумевался как хранилище райтапов, но потом добавились мемы, репосты и ресерчи.
В честь годовщины новая акция: вы можете написать пожелания/предложения/критику под этим постом, ну или в ЛС 😁
❤10🎄1
Так, что-то я долго отсутствовал, а событий случилось много.
Самые интересные, на мой взгляд, следующие:
1. Ресерч Wiz о уязвимости DeepSeek.
2. Проект закона о регистрации багхантеров через госуслуги 🤯
3. Вся крипта — это просто 2 числа: ресерч о бруте dkim.
4. PT: в первом квартале ожидается выход 100 программ с НС, по 1млн каждая.
Самые интересные, на мой взгляд, следующие:
1. Ресерч Wiz о уязвимости DeepSeek.
2. Проект закона о регистрации багхантеров через госуслуги 🤯
3. Вся крипта — это просто 2 числа: ресерч о бруте dkim.
4. PT: в первом квартале ожидается выход 100 программ с НС, по 1млн каждая.
wiz.io
Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History | Wiz Blog
A publicly accessible database belonging to DeepSeek allowed full control over database operations, including the ability to access internal data. The exposure includes over a million lines of log streams with highly sensitive information.
👍4🔥3👀2
Анонс для школьников.
Попытаться точно стоит, однако конкуренция будет огромной: представлять страну будут 4 человека.
Попытаться точно стоит, однако конкуренция будет огромной: представлять страну будут 4 человека.
Telegram
CTF News
Открыта регистрация на отбор в команду на Международную Олимпиаду по кибербезопасности!
Лучшие школьники будут представлять страну 22—28 июня в Сингапуре. Успейте подать заявку до 15 февраля.
Подробнее на сайте.
Лучшие школьники будут представлять страну 22—28 июня в Сингапуре. Успейте подать заявку до 15 февраля.
Подробнее на сайте.
🔥8
В перерывах между этапами
💘4🔥3