8ug8ear

Говорить на языке бизнеса в багбаунти Я долго удивлялась почему мне иногда так занижают уязвимости. Я научилась демонстрировать импакт, а не сдавать просто XSS с алертом. Пишу видео демонстрации, стараюсь быть понятной, собираю цепочки проблем, но все еще чего-то не хватает. Чего же? Сообщество и внутренний голос говорили, что просто не надо работать с мудаками не зрелыми программами, но кажется, что такой взгляд слишком поверхностный и проблема глубже. В этом году получила через BAC чужие балан...

Иногда сложно снаружи оценить влияние бага на бизнес В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной. Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда под...

Уязвимости, найденные случайно Очень много багов, даже в багбаунти находятся и сдаются случайно. Зайти в определенный момент, увидеть ошибку и понять ее причину. Выполняя рутинные действия и внимательно наблюдая результат можно получить баунти. Если видите "странное поведение" - присмотритесь к нему, возможно, это будет проблемой безопасности. Какие это проблемы чаще всего у меня? Различные broken access control Получение секретов * И даже XSS. Был у меня опыт, когда я в рамках обучения в одном ...

Чек-листы безопасности для QA На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний. Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить. Что-то возможно пора обновить, но пусть будет ссылками. bac-business-logic-checklist ru-error-handling-checklist ru-find-i...

Как я играла и проиграла race condition Есть фича покупка услуги. Захотелось мне ее потестить на race condition. Кто не знает что такое race condition - это ошибка проектирования многопоточной системы при которой работа зависит от того, в каком порядке выполняются части кода. Подробнее читать тут и тут. Что обычно приходит на ум? Положить на кошелек сумму 1-2 услуг и попробовать списать больше, загнав аккаунт в отрицательный баланс. Если транзакция не связана напрямую с заказом, а есть некоторая...

Душевный мерч и поздравление Я редко занимаюсь обзором мерча (иначе канал бы сменил направленность), но насколько это обалденно. Нашла всех из bizone bugbounty, а так же Bo0om, Freeman, Brain, W0lFreaK и Artebels. Можно разглядывать как ковер и искать остальных из комьюнити багбаунти. В мире AI генеративного контента - ручное и душевное целится особенно сильно. Если Вы подумали "хей, я тоже так хочу", то можно стать топ 10 на площадке bugbounty.bi.zone за 2025 (уже в следующем году за 2026) или ...

Псс, тут VK топ доклад анонсировали - "Новая эра багхантИИнга" на VK Security Confab. Уверена, что интересно будет всем: Триажерам и им сочувствующим Багхантерам * Все кто настраивает/играется с AI для тестирования и генерации тестовых данных Доклады без записи и есть повод приехать в Москву. Будет еще - сейчас идет формирование программы. https://team.vk.company/confab/?utm_source=tg&utm_medium=post&utm_campaign=cfp

Профессиональные итоги года: Захотелось выделить отдельно от багбаунти все хорошее что произошло и помогает повышать знания и опыт. Да-да-да нужны ли еще итоги? - шар говорит да. Что хорошего случилось на работе и можно об этом сказать публично: Перешла из команды девопс в команду ИБ - лучшее событие. Теперь зовусь не devsecops, а appsec, хотя и делаю почти тоже самое, но с большим смыслом. Пол года вела обучение поиску, устранению и предотвращению уязвимостей среди QA и разработчиков - выживали...

CTF в реальной жизни Решила я недавно дописать статью, которая маринуется в черновиках хабра уже год. Потратила около 4 часов, подвигала туда-сюда картиночки, переписала и дописала тексты и не сохранила. Хабр же сохраняет черновики - так же работают все онлайн редакторы? Да? Да? Падма. jpeg. Но нет я открываю статью - она годовалой давности. Пытаюсь восстановить из бекапа - открывается статья годовалой давности. Вы можете сказать "зачем ты сразу пишешь статью на хабре" и будет правы - нужно было...

Итоги годового багхантинга Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги. Сдавала баги на: https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам https://standoff365.com/ * https://yandex.ru/bugbounty Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами. Всего оплачено: 18 + 35 + 1 = 54 на су...