Итоги конкурса Standoff Defend — объявляем победителей

Конкурс по расследованию атаки APT-группировки Charming Kitten подошел к концу. Более 60 человек разобрались с атакой на 100%, но кто-то сделал это быстрее всех.

И вот они — трое лучших:

🥇 1 место — shashinma.
🥈 2 место — Aeku.
🥉 3 место — SuperBatka.

Призеры получают:
• Фирменный мерч Standoff 365.
• Билеты на PHDays.
• Эксклюзивные ачивки на нашей платформе!

В ближайшее время мы свяжемся с победителями — проверяйте почту, если вы в списке 🫡

⁉️ И еще! Если хотите узнать, как надо было делать по канону — завтра, 25 апреля в 11:00 (мск) в состоится вебинар с эталонным расследованием атаки от экспертов Standoff.

Не забудьте зарегистрироваться!

А вот цитата победителя shashinma:

Всех приветствую!

Задание оказалось не таким сложным, но очень показательным для тех, кто только учится и делает самые первые шаги. Особенно радует, что все это реализовали в новом формате «атаки», которой ранее очень не хватало на онлайн-полигоне. Это именно то, что хотелось бы на нем видеть.

Желаю дальнейшего развития полигону и надеюсь на пополнение списка тасков! :)

Поздравляем победителей и желаем всем удачи в следующих этапах 🔥

Капибары попросили — мы продлили

Задание по багбаунти в рамках коллабы Standoff Bug Bounty × Т-Банк теперь доступно до воскресенья!

Что делать? Выполняй таск, забирай промокод и врывайся в программу Т-Банка.

🎁 А в наградах:
• Х2 к выплате за найденную уязвимость в программе Т-Банка.
• Лимитированная ачивка на Standoff 365.
• Мерч Standoff Bug Bounty × Т-Банк — первым счастливчикам.

Осталось всего несколько дней — капибары не простят, если ты упустишь последний шанс.

👉 Регистрируйся!

(И да, лапки уже можно разминать)

Новый скоуп в программе VK Bug Bounty

Познакомь сервисы с их уязвимостями, а программу — со своими отчетами.

🔥 На платформе Standoff Bug Bounty пополнение: теперь в скоупе программы VK Bug Bounty есть Сервисы Знакомств VK, куда войдут два приложения:

🔹«VK Знакомства».
🔹«ОК Знакомства».

А максимальное вознаграждение — целых 1 млн рублей!

Самое время обратить внимание на программу и поймать как можно больше красивых багов!

Начинаем в багбаунти: как найти уязвимость, за которую тебе заплатят

В новом выпуске «Начинаем в багбаунти» Петр Уваров, руководитель направления VK Bug Bounty, и Анатолий Иванов aka c0rv4x, руководитель направления Standoff Bug Bounty, обсудят, как же находить уязвимости, которые реально приносят деньги.

Видео будет полезно тем, кто хочет узнать о типовых ошибках новичков, критериях импакта и подводных камнях. В конце выпуска будут советы о том, где практиковаться и на чем учиться искать самые популярные уязвимости.

💬 Что еще?

• Почему одни баги засчитывают, а другие — нет?

• Что делать, если отчет отклонили, но ты уверен в его ценности?

• Как раскрутить уязвимость, чтобы ее приняли и за нее заплатили?

В общем, отличный контент для тех, кто хочет попробовать себя в багбаунти или освежить свои знания.

Смотрите ролик на любой удобной платформе:

📺 YouTube 📺 Rutube 📺 VK Видео

Начинаем в багбаунти: как найти уязвимость, за которую тебе заплатят

В новом выпуске «Начинаем в багбаунти» Петр Уваров, руководитель направления VK Bug Bounty, и Анатолий Иванов aka c0rv4x, руководитель направления Standoff Bug Bounty, обсудят, как же находить уязвимости, которые реально приносят деньги.

Видео будет полезно тем, кто хочет узнать о типовых ошибках новичков, критериях импакта и подводных камнях. В конце выпуска будут советы о том, где практиковаться и на чем учиться искать самые популярные уязвимости.

💬 Что еще?

• Почему одни баги засчитывают, а другие — нет?

• Что делать, если отчет отклонили, но ты уверен в его ценности?

• Как раскрутить уязвимость, чтобы ее приняли и за нее заплатили?

В общем, отличный контент для тех, кто хочет попробовать себя в багбаунти или освежить свои знания.

Смотрите ролик на любой удобной платформе:

📺 YouTube 📺 Rutube 📺 VK Видео

Итак, тебе удалось расследовать атаку APT-группировки Charming Kitten...

Но остались вопросы? Или не хватило времени? А может, просто хочется новых инсайтов?

Именно для этого 25 апреля в 11:00 (мск) на сайте марафона Standoff Defend в прямом эфире наши эксперты проведут воркшоп с эталонным расследованием атаки. Если не пропустишь, то сможешь набраться опыта и задать все самые каверзные вопросы, которые пришли тебе в голову.

💡 Зарегистрируйтесь — и точно не потеряетесь. Обо всем напишем, обо всем расскажем, главное — освободите время.

Мы рады, что проходим этот путь вместе с вами и становимся только сильнее! Спасибо, что вы со Standoff Defend 🌸

Как вычислить багхантера при первом знакомстве?

Спросить у него, где он живет, чего боится и сколько часов в неделю хочет работать.

Мы провели исследование — опросили IT-специалистов и багхантеров, чтобы узнать, кто они, как они находят свой путь, как живут и с какими трудностями встречаются.

⭐️ Что мы выяснили?

🔹 По рабочей занятости среди багхантеров лидируют бэкендеры, тестировщики и пентестеры (хотя аудитория опроса вышла разнообразной — есть учащиеся в школах).
🔹 В основном опрошенных останавливает от багхантинга неуверенность в собственных навыках и знаниях (у вас все получится! Главное — попробовать).
🔹 Самыми любимыми сферами для багхантинга оказались потребительский сектор (маркетплейсы, доставки, магазины) и финтех.
🔹 Как стереотипные хакеры, опытные багхантеры работают вечером и ночью. Утро оказалось наименее популярным временем. Некоторые ищут баги даже из отпуска.

Но это только начало. Как IT-специалисты становятся багхантерами? Почему CTF — это лучший трамплин в багбаунти? Какие площадки любят хакеры?

Читайте полный разбор — внутри вас также ждет еще больше статистики и три портрета таких разных, но таких объединенных страстью к уязвимостям багхантеров.

🚨 На радаре багхантера — «Инфосистемы Джет»!

Они строят сложные ИТ-системы. А ты находишь в них красивые баги.

Это одна из крупнейших ИТ-компаний страны, которая специализируется на системной интеграции и информационной безопасности. И теперь она на Standoff Bug Bounty!

Скоуп большой, поэтому вот только некоторая его часть:

*.jet.su
*.jetinfosystems.com
*.jetinfo.ru
*.jetinfo.com
*.jetinfo.su
*.jetcybercamp.ru
Остальные домены можно пощупать на странице программы.

Максимальная выплата — 250 000 рублей.

Пробуй себя — и к лету обязательно устроишь себе шикарный отпуск.

🔥 Закрытый митап для багхантеров

Собираем комьюнити, чтобы без лишней официальщины, камер и трансляций поговорить о главном — багах и настоящей практике. Никакой воды. Только свои.

Митап пройдет 24 апреля, в 18:00 (мск) в Москве. Формат только офлайн, без трансляций и записей, а главное — лампово, свободно и по делу.

☀️ Что в программе?

• Анатолий Иванов с вводным словом о том, куда движется багбаунти и что нового будет в этом году.
• Представители компаний, которые вышли на платформу, — расскажут о том, как работают с репортами и на что стоит обращать внимание при поиске багов.
• А также приглашенные талантливые багхантеры ratel_xx, топовый исследователь и специалист, и Михаил Ключников (n1), автор многих CVE и 0-деев, который сейчас работает в PT SWARM. Они расскажут о своем опыте и выступят с техническими докладами.

💬 Для кого?

Для активных участников багбаунти-программ, пентестеров и тех, кто живет в мире уязвимостей.

💡 Как попасть?

Нужно зарегистрироваться.

👉 Количество мест ограничено — 50 человек. Если мест не хватит — не переживайте, мы никого не забудем! Это только первый митап, серия продолжится. Всем, кто не попал, дадим приоритет в следующий раз.

Хотите выступить или есть вопросы? Тогда пишите на почту meetup-bb@standoff365.com, (Толю не мучайте).

Четвертый шаг марафона — тот самый, которого вы ждали!

☀️ Самый сложный и интересный этап марафона открыт — время расследовать атаку APT-группировки Charming Kitten, смоделированную с помощью модуля Archer.

Вчера мы раскрыли особенности группировки — если пропустили, срочно изучайте карточку, чтобы не растеряться!

💡 А 25 апреля в 11:00 (мск) ждем всех на разборе атаки с ментором. Она пройдет прямом эфире на сайте марафона. Ментор ответит на ваши вопросы, поэтому готовьтесь — это отличная возможность прокачать свои скиллы и узнать больше!

И не забывайте про конкурс! Первые три участника, которые расследуют атаку на 100% до 23 апреля, получат:

✔️ Билет на PHDays Fest с доступом на кибербитву Standoff.
✔️ Крутой мерч — чтобы все знали, кто тут чемпион.
✔️ Эксклюзивные ачивки на Standoff 365 — чтобы можно было заслуженно похвастаться перед коллегами.

Вы давно готовились к этому этапу — время показать, на что вы способны!

Знакомьтесь, APT-группировка Charming Kitten

💡 Те, кто успешно прошел тест из четвертого шага нашего марафона, уже знают, что завтра, 16 апреля, можно будет начать расследовать атаку от APT-группировки Charming Kitten.

А пока мы подготовили для вас карточку, в которой расскажем о векторах атаки группировки и подскажем, на что обратить внимание при расследовании.

Через 10 минут начнется стрим с хакерами из Synack и HackerOne!

Смотреть трансляцию можно на ютубе. Готовьтесь задавать свои вопросы гостям!

Для тех, кто не успеет, запись стрима будет сохранена по этой же ссылке.

🔥 Напоминаем про стрим с хакерами из Synack и HackerOne!

Который пройдет 15 апреля в 19:00 (мск) в нашем канале коммуникации. На ваши вопросы ответят хакеры Hussein Daher и Nikhil "Niksthehacker" Shrivastava.

На стриме гости расскажут, как они пришли в багбаунти, на каких уязвимостях они фокусируются, и поделятся самыми впечатляющими инсайтами и лайфхаками.

А пока прикрепляем видео от гостей, в котором они приглашают вас на стрим!

Открываем четвертый шаг марафона Standoff Defend

Ключевое нововведение онлайн-полигона — это разработанный нами модуль Archer, который симулирует пользовательскую активность и имитирует действия реальных хакеров и APT-группировок. Мы приготовили тест, в котором вы узнаете, атаку какой группировки будете расследовать 16 апреля.

💡 Пока вы ждете открытия атаки, на сайте можно прочитать статью и узнать больше о нашем Archer и о том, как он воспроизводит сложные атаки вплоть до 25 шагов.

Первые три участника, которые исследуют атаку на 100%, получат:

🔹Билет на PHDays Fest с проходом на кибербитву Standoff.
🔹Мерч Standoff.
🔹Уникальные ачивки на платформе Standoff 365.

Ждем тебя и желаем успехов на марафоне!

На онлайне-полигоне для красных Standoff Hackbase пройдут технические работы 🚧

В отраслях Metal&Tech и HighTechEnergy будут недоступны сегменты SCADA 14 апреля с 11.00 до 15.00.

Вся остальная платформа будет работать в штатном режиме.

Стань «Мэром Капибаровска» на главной коллабе весны — Standoff Bug Bounty × Т-Банк

Два в одном: CTF и багбаунти — в цифровом городе Капибаровск!
В рамках T-CTF 2025 ты можешь получить бонусы, бусты и редкий мерч от Standoff Bug Bounty за решение таски по багбаунти!

💥 Что делать?
Регистрируйтесь на T-CTF в Лигу безопасности (здесь таски для опытных CTF'еров и людей из кибербеза) до 18 апреля, решите задание, получите промокод и сдайте отчет на нашей платформе с 21 апреля по 21 мая в программу Т-Банка.

🎁 Какие награды тебя ждут:

• Х2 от Т-Банка: участники, решившие задачу, получат возможность увеличить свою награду за найденную уязвимость.

• Эксклюзивный мерч Standoff Bug Bounty × Т-Банк — для первых 50 участников, которые справятся с заданием.

• Ачивки на платформе Standoff 365. А первому, кто решит задание, — уникальная ачивка «Мэр Капибаровска».

Если вы готовы к поиску багов, спасению капибар и умножению выплат — регистрируйтесь на T-CTF.

Ждем тебя, хакер с лапками.

Открываем третий шаг марафона Standoff Defend

Рекомендации прочитаны, база знаний есть? Отлично. Теперь — практика.

На обновленном онлайн-полигоне Standoff Defend мы собрали более 100 заданий в спецверсии онлайн-симулятора Standoff Cyberbones — все они собраны из настоящих атак и инцидентов, реализованных белыми хакерами на кибербитве Standoff.

🔥 Специально для марафона мы открыли четыре новых инцидента и одну цепочку атаки в бесплатной версии нашего онлайн-симулятора.

Твоя задача: расследовать, собрать цепочку, сдать отчет.

Если вдруг зашел в тупик — используй подсказки, которые мы добавили на платформу.

А если ты еще не зарегистрирован на Standoff 365 (не понимаем как это вообще возможно) — скорее исправляй.

🔥 Представляем новый релиз платформы Standoff 365

Мы продолжаем улучшать нашу платформу для вашего удобства. Сегодня расскажем про главные нововведения (помимо улучшенной производительности).

1️⃣ Теперь у нас два лагеря — Standoff Hackbase и Standoff Defend

Hackbase — это новое имя онлайн-полигона для атакующих. А про Defend — онлайн-полигон для защитников — вы и так уже знаете (не забывайте следить за онлайн-марафоном).

Мы планируем постепенно обновлять Hackbase: он будет расти и становиться удобнее. О крупных изменениях расскажем после кибербитвы Standoff 15 — следите за новостями!

2️⃣ У каждого из наших продуктов теперь есть отдельная страничка

Продуктов Standoff 365 становится больше. Чтобы было легче найти то, что вас интересует, мы все удобно структурировали. Например, даже у кибербитвы есть своя страница (и давно): там будут появляться все активные киберучения, чтобы ничего не потерялось.

3️⃣ Вы просили — мы сделали

Теперь на Standoff Bug Bounty можно раздельно смотреть список программ по уязвимостям и по недопустимым событиям.

Ну и еще там-сям внесли пару правок.

Открываем второй шаг марафона Standoff Defend

💡 Если вы определились с целями, то следующий шаг — оценить уровень своих знаний. В одиночку сделать это совсем непросто, можно сильно запутаться, поэтому на обновленном онлайн-полигоне теперь доступно входное тестирование!

По его результатам наши эксперты определят уровень подготовки для каждого пользователя и разработают индивидуальные рекомендации. После участники будут изучать теоретические блоки в закрытой базе Standoff Defend и выполнять практические задания (которых доступно более 100!).

В рамках марафона вы сможете попробовать экспресс-версию входного тестирования и получить подборку статей от менторов Standoff со знаниями, которые будет полезно подтянуть.

Переходи на сайт, чтобы продолжить свой путь в ИБ вместе с экспертами Standoff Defend 💡

Опубликованы итоги квалификации на кибербитву Standoff 15

Встречайте героев — мы опубликовали списки команд, которые будут участвовать в кибербитве!

🥇1 место — Россия, HackerLab
🥈2 место — Россия, Omsk_Hackers
🥉3 место — Россия, Dataeli&only_f4st
🏅4 место — Оман, Insight Warriors
🏅5 место — Россия, Cyb7rC0d3#

Баллы по командам можно посмотреть на сайте. Поздравляем участников и желаем им удачи в дальнейших приключениях на кибербитве Standoff 15 🎆

Напоминаем, что 10—13 апреля для команд, которые автоматически попали в финал, будет предоставлен доступ к инфраструктуре для ознакомления с ней в качестве тренировки.

Не будет лишним добавить, что наш официальный канал коммуникации поможет вам быть в курсе всех дел и наладить общение с участниками кибербитвы и организаторами. Присоединиться к каналу можно здесь 👾

Открываем активность в рамках первого шага марафона Standoff Defend

Вы уже ответили на вопросы первого шага — отрефлексировали, чему хотите научиться, прежде чем приступать к практике, что умеете, какие вызовы вас будут ждать.

А дальше предлагаем вам прочитать интервью с Алексеем Новиковым, управляющим директором Positive Technologies, с которым мы поговорили о том, как меняется рынок кибербезопасности, почему киберполигоны становятся стандартом инструмента кибербезопасности и как Standoff Defend поможет прокачать навыки специалистов SOC.

Что еще внутри?

▫️Какие ошибки чаще всего допускают компании при защите своей инфраструктуры.
▫️Чем отличается реальная кибератака от классического учебного сценария.
▫️Какие трудности переживает рынок кибербезопасности.
▫️Какие задачи в области ИБ поможет решить Standoff Defend.

Переходите на сайт марафона и следите за новостями — впереди вас ждет настоящий киберэкшен и много уникальных возможностей развить собственный потенциал.

⛔️ Закрываем старый VPN — подключайтесь по-новому

С понедельника, 7 апреля, мы отключаем старый VPN-сервер онлайн-полигона для красных. Если вы пользовались им для доступа на полигон (особенно если регистрировались больше года назад), пора переходить на основной VPN.

🔹 Что делать?

Инструкция для подключения VPN размещена на портале. Основной VPN (с доступом по логину и паролю) продолжит работать без изменений.

Измените настройки подключения к VPN-серверу сейчас, чтобы не потерять доступ к заданиям онлайн-полигона.

Личный кабинет багхантера VK Bug Bounty

Теперь у тебя есть удобный инструмент для отслеживания твоей активности в программе VK Bug Bounty. Это — личный кабинет, в котором ты можешь посмотреть:

🔹Накопленный бонус с Bounty Pass — чтобы всегда знать, сколько уже заработано.
🔹Срок действия бонуса — чтобы ничего не сгорело.
🔹Количество сданных отчетов — чтобы личная статистика всегда была под рукой.

И главное: на какой бы платформе ни сдавались бы отчеты по программе VK, все они будут видны в личном кабинете.

Вход в личный кабинет — по ссылке.

Сдавать отчеты и следить за своими плюшками стало еще комфортнее 🎉

Лутбоксы теперь и на Standoff 365 🎁

Сегодня мы запускаем большое обновление на платформе: за обнаруженные уязвимости на багбаунти, успешную реализацию критических событий и расследование инцидентов на онлайн-полигоне вы будете получать лутбоксы.

Они будут разного уровня: 🥉 бронзовые (10 000 баллов), 🥈 серебряные (50 000 баллов) и 🥇 золотые (100 000 баллов).

Внутри — мерч, голда, скины, пожелания хорошего дня от Толи, промокоды на поесть и уникальные NFT-аватарки для профилей. Чем больше баллов за катку, тем круче приз.

Cегодня открываем первый лутбокс для всех — с эксклюзивным советом от Алексея Лукацкого в нашем чате ⬅️

Хочешь увидеть открытые отчеты об уже найденных уязвимостях? Теперь у тебя есть такая возможность!

Сегодня VK опубликует 7 открытых отчетов, которые были найдены в программе VK Bug Bounty. Это реальные кейсы, отчеты по которым были сданы через платформу Standoff и которые уже помогли сделать инфраструктуру безопаснее. Теперь они могут помочь и тебе — как источник новых идей и практических решений.

В подборке — 5 отчетов от circuit, отчет от cutoffurmind и отчет от kedr.

⚡️ Что это значит для тебя?
Лучший способ прокачать скил — изучать реальные баги. Разборы найденных в рамках программ VK уязвимостей помогут понять, как мыслит опытный исследователь, на какие детали стоит обращать внимание и какие ошибки обычно допускают компании.

💡 Что дальше?
Следите за обновлениями! В будущем вас ждут новые публикации.

🔥 И, конечно, ждем твои отчеты!
Наши багхантеры не только находят уязвимости, но и получают за них достойные награды. С Bounty Pass от VK можно копить бонусы к выплатам на целый год — так что участвовать в программе теперь еще более выгодно.

Выдели время на изучение отчетов — уверены, это обязательно станет ценной информацией для тебя.

🤜 Продолжаем публиковать полезные советы в канале Standoff Bug Bounty Tips

В новом посте рассказываем, как не пропустить IDOR-уязвимость с помощью Path Traversal.

В ближайшее время будем реже делиться здесь типсами — подписывайтесь на канал, чтобы ничего не пропустить.

Угнанный домен, утекшие данные — реализуй кибератаку на новом хосте Standoff Standalone!

В минувший понедельник внезапно стало известно о кибератаке на ИТ-компанию Carbon — одного из ведущих игроков Государства F.

Во время планового аудита служба ИБ обнаружила подозрительную активность в сети: оказалось, что доступ к контроллеру домена компании получили некие нарушители извне.

🚨 Какие последствия?
✔️ Несмотря на то что компания вернула контроль над инфраструктурой и сосредоточилась на устранении последствий, реальный масштаб ущерба пока неизвестен.
✔️ Клиенты обеспокоены: какие данные могли утечь?
✔️ Расследование продолжается, но уже очевидно, что компания потеряла часть очень важной информации.

💡 Твоя цель — повторить атаку: получить права доменного администратора в инфраструктуре Carbon. Если все пройдет удачно, флаг будет ждать тебя на его рабочем столе.

Автор хоста — Андрей Exited3n, а найти хост можно по адресу carbon.standalone.stf.

Проверь свои силы и проведи атаку — права администратора ждут тебя!

Хотите задать вопрос топовым хакерам из Synack и HackerOne?

В нашем канале коммуникации 15 апреля в 19:00 (мск) пройдет стрим в формате ответов на все ваши вопросы с топовыми хакерами Hussein Daher и Nikhil "Niksthehacker" Shrivastava!

Что будет на стриме?

🔥 Как гости стрима пришли в багбаунти и что стало точкой невозврата?
🔥 На каких уязвимостях они фокусируются и почему?
🔥 Как понять, когда копать глубже, а когда менять таргет?
🔥 Самые запоминающиеся репорты, инсайты и лайфхаки.

Кто в эфире?

🔹 Hussein Daher — этичный хакер, который с 2014 года нашел более 1500 уязвимостей более чем в 800 компаниях. Основатель WebImmunify․com, компании, которая занимается пентестом и консультациями по кибербезопасности.
🔹Nikhil Shrivastava (Niksthehacker) — Synack Legend Hacker — помог найти более 1500 уязвимостей в продуктах Google, Microsoft, Tesla. Выступал на DEF CON, BlackHat и RSA.

Модератором стрима выступит Александр Мошков.

💡 Готовьте вопросы — спикеры ответят на все, что вы захотите узнать!

🔥 Проведем онлайн-марафон к запуску обновленной версии Standoff Defend

Обычно новые продукты запускают на мероприятиях с фуршетом. Но мы решили пойти другим путем: 3 апреля стартует онлайн-марафон, на котором вы сможете первыми пощупать функции обновленного Standoff Defend. Вас будет ждать целый месяц практики!

➡️ Standoff Defend — обновленный онлайн-полигон для команд защиты с виртуальной инфраструктурой типовой компании, где можно прокачать свои навыки по кибербезопасности (с поддержкой ментора!). Во время марафона вы познакомитесь со всеми возможностями Standoff Defend за короткий срок.

💬 Что вас ждет?

• Расследования атак APT-группировок,
• Исследование свежих инцидентов с кибербитвы,
• Разбор атак с ментором,
• А также много полезной теории и инсайдов!

Все начнется третьего апреля — следите за новостями.

P.S.: онлайн-марафон бесплатный и будет доступен всем желающим, а участников будут ждать конкурсы с классными призами 🙂

Подарки, стажировки, новые вызовы — что приготовили партнеры МИК?

🔹Партнер одного из этапов отборочных испытаний для команд защиты — CyberCamp от «Инфосистемы Джет». У наших участников был целый уикенд, чтобы продемонстрировать свои навыки! По итогам Международных игр, топ-2 команды среди красных и топ-2 команды среди синих получат эксклюзивный мерч от нашего партнера!

🔻А что ждет команды атакующих, кроме мерча и подарков? Партнеры из CyberEd подготовили задание, которое продемонстрирует один возможный сценарий атаки на инфраструктуру разработки и продуктовую среду компании.

💬 И еще отличная возможность от другого партнера для всех финалистов МИК (как для атакующих, так и для защитников) — попадание на стажировку в «Совкомбанк Технологии»! Вот с такими клевыми условиями:

• Официальное трудоустройство.
• Стажировка ~ 4 месяца.
• Формат — очный или удаленный (в зависимости от задач бизнеса).
• Гибкий график — от 20 часов в неделю (можно совмещать с учебой).
• Оплачиваемая стажировка — 75 000 руб.
• Лучшие стажеры получат приглашение в штат!

Да начнутся Международные игры по кибербезопасности! 🔥

Типсы для багхантеров ⭐️

На прошлой неделе мы в экспериментальном формате запустили рубрику полезных советов по багбаунти. Вам зашло, а у нас есть еще много годного контента 🤝

Поэтому запускаем отдельный канал — Standoff Bug Bounty Tips, подписывайтесь 👉.

Второй пост уже опубликован: рассказываем о простых методах разведки для багхантера — welcome!

Билеты на PHDays Fest уже в продаже!

Хотите увидеть, как кибератаки рушат целые отрасли? Добро пожаловать в зону Standoff на PHDays Fest!

🔹Вас будет ждать обновленный макет виртуального государства F, где можно будет увидеть реальные последствия хакерских атак на различные индустрии — банковский сектор, городскую среду, авиацию, нефтегаз, логистику, энергетику и металлургию.

А главное — теперь все это в обновленной визуализации, которая покажет процессы кибербитвы еще более детально.

🔥 Важно: Standoff пройдет в закрытой части фестиваля, и попасть туда можно будет по билету. По нему вам будут также доступны и все другие зоны киберфестиваля.

Как получить билет? За пожертвование от 1500 рублей в один из благотворительных фондов:

✔️ «Подари жизнь»,
✔️ «Улица Мира»,
✔️ «Старость в радость».

Сделать пожертвование можно на сайте киберфестиваля (для этого нужно создать личный кабинет, выбрав покупку билета в разделе «Форматы участия»).

До встречи 22—24 мая в «Лужниках»!

Все новости киберфестиваля — в канале @PHDays

Сегодня последний день подачи заявок на легендарную кибербитву Standoff!

Если вы хотите попробовать принять участие, но еще не подали заявку — сегодня у вас последний шанс это сделать. Заявиться можно на сайте кибербитвы тут.

Что ждет команды до отборочных испытаний?

❤️ До 31 марта организаторы объявят список команд, которые будут допущены до квалификации.
❤️ Перед началом квалификации пройдет онлайн-встреча с организаторами.

📆 2–6 апреля — квалификация для допущенных команд.

Важно: команды, получившие личное приглашение в финал, могут участвовать в отборочных, но в отдельном зачете без начисления баллов. Это не повлияет на их участие в финале.

📆 10–13 апреля — квалификация для команд, которые автоматически попали в финал.

Что делать сейчас?

❤️ Ждите список команд, допущенных до квалификации, до 31 марта.

❤️ Вся актуальная информация — в канале коммуникации кибербитвы Standoff 15.

Желаем удачи в подготовке и держим кулачки!

🔎 Перечисление поддоменов: как расширить поверхность атаки с помощью активных и пассивных методов

Мы решили запустить экспериментальный формат, в котором будем делиться полезными советами от опытных багхантеров — не ежедневно, но регулярно. Начинаем с самой базы — можно унести ее в сохраненки и возвращаться к ней по необходимости. Не забывайте ставить реакции под постом, чтобы мы понимали, был ли материал полезен. А если у вас есть предложения о контенте, не стесняйтесь рассказать об этом в комментариях. Enjoy!

Что делает убитый горем багхантер, который не может найти хоть какую-нибудь зацепку? Правильно — проводит разведку по новой: пассивный и активный поиск поддоменов, брут путей и файлов, использование дорков, исследование используемых в приложении технологий и т. д. Каждая тема здесь достойна отдельного поста, поэтому начнем по порядку с простого — сбора поддоменов.

⭐️ Описанное ниже особенно полезно, когда в скоупе багбаунти-программы есть DNS-записи wildcard (*.domain.tld).

Итак, основная цель — получить как можно больше активов из багбаунти-программы, чтобы сформировать представление об общей поверхности атаки и о работе инфраструктуры.

➡️ Пассивный сбор поддоменов: вы не взаимодействуете с целевым узлом и получаете информацию из открытых источников (DNS-записи, логи сертификатов SSL и TLS или веб-архивы).

Примеры используемых инструментов:

🟢 Censys, Shodan, SecurityTrails, DNSDumpster и другие онлайн-сервисы.

🟢 Инструменты вроде subfinder, amass или waybackurls, которые сами опросят множество публичных баз данных и выведут результат в удобном для вас формате (останется только добавить API-ключи):

$ subfinder -d example.com -oJ domains-example.com.json
или
$ amass enum -d example.com -o domains-amass.example.com.txt -timeout 12 -v


🟢 Google-дорки — это база:

site:*.example.com -site:www.example.com


➡️ Активный сбор поддоменов включает поиск любых поддоменов, которые не проиндексированы публично, но активно используются. Разберемся с ключевыми методами:

🟢 Брутфорс DNS — перебор поддоменов по словарю, который должен быть составлен отдельно исходя из полученных в ходе разведки данных. Про общедоступные словари тоже не стоит забывать (SecLists, fuzzdb, Assetnote Wordlists). Важно не останавливаться на доменах 3-го уровня, а искать дальше. В этом поможет инструмент mksub, с помощью которого можно сгенерировать дополнительные вариации поддоменов:

$ gobuster dns -d example.com -w wordlist.txt
$ mksub -d example.com -l 2 -w dns-wordlist.txt


🟢 Фаззинг виртуальных хостов (vhosts), которые имеют тот же IP-адрес, что и другой домен на веб-сервере. Полезные инструменты для работы — ffuf и wfuzz.

$ ffuf -c -r -u 'https://www.example.com/' -H 'Host: FUZZ.example.com' -w dns-wordlist.txt


🟢 Reverse DNS (rDNS): преобразует IP-адрес в связанное с ним доменное имя. Этот способ особенно полезен при исследовании диапазона целевых IP-адресов. На помощь придут инструменты Linux (dig, host) или общеизвестный dnsx.

$ dig -x 8.8.4.4 +short
$ cat ips.txt | dnsx -ptr -resp-only


➡️ Веб-краулинг с помощью Burp Suite или других инструментов: просто укажите кастомный скоуп, ходите по ссылкам и отслеживайте новые поддомены.

.*\.example\.com$


⭐️ Последняя задача — определить активные веб-узлы и избавиться от фолзов. Самый простой способ — использовать httpx или httprobe. Собираем поддомены в отдельный файл и выполняем:

$ cat domains.txt | httpx -o domains-webserver.txt
или
$ cat domains.txt | httprobe >> domains-webserver.txt


💡 Хотите еще сильнее упростить себе жизнь? Используйте anew для добавления уникальных строк в файл из stdin. Инструмент выводит новые строки в stdout, что делает его немного похожим на команду tee -a.

P. S. При подготовке вдохновлялись статьей от багбаунти-площадки YesWeHack.

Неужели это новые закрытые недопустимые события?

🔥 Ага, это действительно они. И целых 7 из них вы уже реализовали на этой неделе!

Всего на кибериспытаниях Standoff Bug Bounty вы закрыли 33 недопустимых события, и, если переводить в рубли, получили 33 млн рублей.

Такими темпами до шикарного лета и потрясного отпуска рукой подать 🎆

Кстати, появилась новая программа! Она скучает по вашим отчетам ⤵️

• Мокка

Опыт компании «Нетрис» на кибербитве Standoff 14

Что будет, если кто-то решит взломать системы, отвечающие за видеонаблюдение?

💡 Компания «Нетрис» решила проверить свой продукт на прочность и отправить видеорегистратор Netris iStream ITX на кибербитву Standoff 14, чтобы выяснить, насколько он устойчив к атакам в реальных условиях.

Система устояла перед прямыми атаками через веб-интерфейс, но человеческий фактор внес коррективы: неизмененные (намеренно) предустановленные пароли и ошибки конфигурации дали атакующим лазейку. А самым слабым звеном стал скомпрометированный SSH-ключ, который позволил хакерам получить доступ к системе.

💬 Вывод: кибербитва — не просто лучший способ проверить свой продукт на стрессоустойчивость, а еще и источник бесценных инсайтов для компании!

Читай полный разбор кейса на Security Lab.

Мы продлили срок приема заявок от красных на Standoff 15!

Мы получили очень много ваших заявок на отборочные — и так этому рады, что решили продлить прием до 20 марта.

⚡️ Это тот самый знак для тебя: подавай заявку, пока не поздно!

Напоминаем, что кибербитва пройдет во время фестиваля Positive Hack Days 21–24 мая.

Ждем тебя. Все только начинается 🔥

👾 Напоминаем про официальный канал коммуникации о кибербитве Standoff 15!

Отборочные испытания пройдут совсем скоро, со 2 по 6 апреля. В канале можно будет ознакомиться со списками команд, которые прошли на отборочные и которые автоматически попали в финал испытаний.

Там же команды смогут узнать, как участвовать в отборочных, если они сразу попали в финал.

Свежие. Реализованные. Твои.

✨ Вы реализовали уже целых 26 недопустимых событий, а значит, унесли с собой 26 млн рублей!

Нет слов, чтобы описать, как мы вами гордимся. Но слов хватает для того, чтобы сообщить: на платформе Standoff Bug Bounty активно еще 46 программ кибериспытаний.

В комментариях — список программ, в которых еще можно сорвать куш (и даже не один!)⤵️

Видеоразбор кейсов с кибербитвы Standoff 14: как хакеры украли учетные данные оператора и превратили краски в проблемы?

Что делать, если предприятие сталкивается со странными сбоями в работе оборудования?

А если компания запускает новый лакокрасочный завод и вкладывает в него кучу денег, но тут — бракованная партия? Клиенты возвращают продукцию, бизнес несет убытки.

🌪 Иногда все это не технические проблемы, а результаты хитрых атак. Ментор Bagley решил оба этих кейса и показал, как атакующие провернули свои операции.

Что же случилось в первом кейсе?

📌 Вредоносное ПО проникло в систему задолго до атаки — оно действовало как кейлоггер и тихо записывало нажатия клавиш операторов.
📌 Через полгода злоумышленники нашли этот «подарок», извлекли из него учетные данные и вошли в критически важные системы.
📌 Атакующие начали манипулировать параметрами оборудования, чуть не спровоцировав аварию.

А во втором?

📌 Хакеры проникли в систему завода и изменили пропорции красок при смешивании.
📌 В итоге краска оказалась не того оттенка, а значит — непригодна для использования.
📌 Никто ничего не подозревал, пока от клиентов не начали сыпаться жалобы.

Смотрите ролик на любой удобной платформе:

📺 YouTube на русском и на английском
📺 Rutube 📺 VK Видео

Это отличный материал для подготовки — изучайте, анализируйте и будьте готовы к новым вызовам!

Видеоразбор кейсов со Standoff 14: как хакеры украли учетные данные оператора и превратили краски в проблемы?

Что делать, если предприятие сталкивается со странными сбоями в работе оборудования?

А если компания запускает новый лакокрасочный завод и вкладывает в него кучу денег, но тут — бракованная партия? Клиенты возвращают продукцию, бизнес несет убытки.

🌪 Иногда все это не технические проблемы, а результаты хитрых атак. Ментор Bagley решил оба этих кейса и показал, как атакующие провернули свои операции.

Что же случилось в первом кейсе?

📌 Вредоносное ПО проникло в систему задолго до атаки — оно действовало как кейлоггер и тихо записывало нажатия клавиш операторов.
📌 Через полгода злоумышленники нашли этот «подарок», извлекли из него учетные данные и вошли в критически важные системы.
📌 Атакующие начали манипулировать параметрами оборудования, чуть не спровоцировав аварию.

А во втором?

📌 Хакеры проникли в систему завода и изменили пропорции красок при смешивании.
📌 В итоге краска оказалась не того оттенка, а значит — непригодна для использования.
📌 Никто ничего не подозревал, пока от клиентов не начали сыпаться жалобы.

Смотрите ролик на любой удобной платформе:

📺 YouTube на русском и на английском
📺 Rutube 📺 VK Видео

Это отличный материал для подготовки — изучайте, анализируйте и будьте готовы к новым вызовам!

Все статьи журнала Positive Research теперь в открытом доступе!

Громко заявляем: все выпустили, все выложили, все можно читать. Показываем содержимое журнала, чтобы вы не поленились и заглянули внутрь:

🔹 «Живой трафик vs синтетический трафик: что круче?» — битва века: натурпродукт против лабораторного эксперимента.

🔹 «„Мы хотели погрузиться в атмосферу настоящего сражения“: „Гринатом“ на Standoff 13» — когда ты готовился к кибербитве, но организаторы внезапно усложнили уровень игры.

🔹 «Когда ты белый хакер, ты в ситуации win-win» — багхантеры делятся своими находками, лайфхаками и философией «нашел баг — заработал, нашел крит — ушел в отпуск».

🔹 «Круглый стол: как и зачем мы выходили на багбаунти» — о том, как компании решаются сказать хакерам: «Ну давай, попробуй нас взломать».

🔹 «Не только отчеты: как триаж упрощает выход на багбаунти» — о людях, которые превращают хаос найденных уязвимостей в структурированный ад.

🔹 «У вас ограничен бюджет на пентест? Лучше потратить его на Кибериспытания»: если у вас мало денег на пентест, но хочется адреналина, багхантеры всегда найдут ваши слабые места, главное платить им первыми.

🔹 «Пять способов сломать SCADA-систему» — или как промышленные сети не должны работать, если вы за безопасность.

🔹 «Пять шагов к созданию новой отрасли на киберполигоне» — если построить завод в реальности сложно, попробуйте сделать его виртуальную копию, чтобы хакеры смогли ее сломать.

🔹 «Пентест vs багбаунти: что лучше?» — отправили оба метода проверки безопасности на арену. Кто победил? Узнаете в статье.

🔹 «Как это работает: банки, металлургия и цифровые двойники на Standoff» — о том, как защитить виртуальный банк от атаки и обеспечить киберустойчивость реальных бизнес-процессов.

🔹 «Как начать работать с багбаунти: опыт VK» — инструкция по вхождению в багхантерскую тусовку.

🔹 «Играть в потемкинские деревни не было ни смысла, ни желания» — как вендоры выкатывают свой софт на публичный тест, не закрывая глаза и не пряча баги под ковер.

🔹 «Готовим Blue Team с помощью Standoff Cyberbones» — учим синих защищаться, чтобы красные не думали, что можно разгуливать по инфраструктуре и чувствовать себя как дома.

🔹 «Платформа Standoff 365 сегодня» — все, что нужно для специалистов по ИБ: киберполигон, обучение, багбаунти и масштабные зарубы между красными и синими.

🔹«„Не стоит рассчитывать, что если один раз повезло, так будет всегда“: интервью с багхантерами Standoff Bug Bounty» — багхантеры вспоминают, как баги приносили миллионы… и как удача резко заканчивалась.

И вся эта роскошь и другие интересные материалы уже ждут вас на сайте.

Как попасть на Международные игры по кибербезопасности?

Вот все, что нужно знать о датах и условиях.

Во-первых, прием заявок уже во всю идет! Переходи по ссылке, подавай заявку и выбирай свою сторону — атакующих или защитников.

Во-вторых, пройди отборочные туры:

🔵 Для защитников: заявку можно подать до 10 марта! Список команд, допущенных до участия в отборочных испытаниях, будет определен 12 марта.

Чтобы попасть в финал, нужно набрать как можно больше командных баллов. Они формируются на основе:

🔹 Теста на знание основ ИБ (берется средний балл команды).
🔹 Выполнения задания на CyberCamp (берется средний балл команды).
🔹 Дополнительных достижений на других соревнованиях по ИБ.

До 17 апреля мы объявим топ-15 команд с наибольшим количеством баллов — именно они отправятся в финал!

🔴 Для атакующих: заявку можно подать до 21 марта. Мы проведем экспертный отбор и до 14 апреля озвучим, какие красные команды попадут в финал.

Не забудь вступить в наш канал для коммуникации! 👾

Оставайся на связи, знакомься с опытными участниками Standoff: так ты сможешь в первую очередь узнавать о крутых фишках и инсайдах.

Если ты студент или начинающий специалист, который хочет проверить свои силы на практике, — собирай команду и регистрируйся прямо сейчас!

Да, закрытые НС. Снова!

🤪 Ни за что не угадаете, о чем мы хотели бы рассказать. За последнее время багхантеры, ворвавшись в кибериспытания, закрыли аж 18 недопустимых событий и унесли с собой 18 миллионов!

Система пытается адаптироваться к такому натиску: добавлена 1 новая программа ⤵️

• FINMUSTER

53 активные программы в тряске немного нервно поглядывают на вас и ждут, когда вы их потрогаете.

Список программ, которым нужны ваши отчеты, а также даты их завершения — в комментариях ⤵️

🔥 Новый релиз на Standoff 365 — теперь с персональной матрицей MITRE ATT&CK!

На нашей платформе появилось кое-что крутое! Мы сделали много технических доработок, но главная гордость — персональная матрица MITRE ATT&CK для защитников.

💡 Как это работает?

🔹 Ты выполняешь практические задания на Standoff Cyberbones.
🔹 Каждому заданию соответствуют определенные тактики и техники из MITRE ATT&CK. Если ты правильно выполнил задание, соответствующая техника закрашивается в твоей персональной матрице.
🔹 В итоге формируется уникальный профиль: видно, какие техники ты уже умеешь распознавать.

⁉️ Что еще круто?

• Матрица обновляется автоматически, никаких ручных действий.
• Работает уже сейчас для тех, кто решал Киберкости (если ты уже выполнял задания — пора заглянуть в свой профиль!).

Зачем это защитникам? Если у тебя получилось отследить техники и тактики атакующих в онлайн-симуляторе, значит, узнаешь их из тысячи и в реальности. Матрица покажет, что еще нужно изучить и какие знания стоит тебе прокачать.

Проверь свою MITRE матрицу прямо сейчас в профиле!

Да, закрытые НС. Снова!

🤪 Ни за что не угадаете, о чем мы хотели бы рассказать. За последнее время багхантеры, ворвавшись в кибериспытания, закрыли аж 18 недопустимых событий и унесли с собой 18 миллионов!

Система пытается адаптироваться к такому натиску: добавлена 1 новая программа ⤵️

• FINMUSTER

53 активные программы в тряске немного нервно поглядывают на вас и ждут, когда вы их потрогаете 🔥

👽 Вообще, мы принесли вам пятый юбилейный выпуск «Хак Так», но сначала пройдите тест на хакера

😝 Говорите ли вы на компьютерном языке?

🤔 Что такое whoami?

🦠 Можно ли взорвать системник при помощи вируса?

Если с первой попытки ответить не вышло, попробуйте еще раз после просмотра видео.

В нем белые хакеры Николай Анисеня, Иван Булавин и Никита Ладошкин вместе с душным ведущим Кириллом Шипулиным разбираются, насколько реалистично действуют хактивисты в немецком триллере «Кто я», цифровые пираты в сериале «Сцены» и помощник Брюса Уиллиса в четвертой части «Крепкого орешка».

https://youtu.be/9KyuyXVK5Y8
https://youtu.be/9KyuyXVK5Y8
https://youtu.be/9KyuyXVK5Y8

👆Смотрите здесь, а пока не посмотрели, отгадайте в комментах, какой фильм получит больше всего «хаков», а какой — «таков».

@PositiveHackMedia

Месяц удвоенных выплат на все найденные уязвимости в VK Видео!

🎆 Что может быть приятнее выплаты за принятый отчет? Правильно, выплата, умноженная в два раза! В ближайший месяц тебя ждет повышение наград за сданные уязвимости в программе VK Видео на платформе Standoff Bug Bounty.

🔹С 28 февраля по 28 марта для VK Видео действует ✖️ на все найденные уязвимости.
🔹Скоуп остается прежним, так что можно сразу приступать к охоте.

Строй роскошные планы на приближающуюся весну и не забывай думать о том, как будешь воплощать их в жизнь. 😉

💬 Не забывай и про дополнительные бонусы от Bounty Pass: Forever!

Чтобы багхантеры не только ловили уязвимости, но и получали максимум профита, напоминаем о Bounty Pass:

🔹Получи +1-5% к вознаграждению в зависимости от уровня опасности бага.
🔹Чем больше принятых отчетов — тем больше накопленный бонус.
🔹А еще здесь дарят подарки за активность: сдай 4 отчета до конца марта и получи уникальный мерч от VK.

Готовы к ✖️ выплатам? Тогда вперед — VK Видео уже ждет ваших отчетов!

Ansible, хосты и магия переменных: как подружить сервисы между собой?

Продолжаем серию статей про Ansible и развертывание больших инфраструктур! Если в прошлый раз мы разбирались, как красиво раскладывать хосты по полочкам в Ansible inventory, то теперь копнем глубже — как их конфигурировать и связывать между собой, чтобы все работало, а не горело.

💡 Что внутри статьи?

🔹 Как Ansible решает судьбу хостов через переменные и почему они делятся на три пула (у каждого свое место в иерархии).

🔹 Как один сервис понимает, к кому ходить за доменными именами, а к кому — за аутентификационными данными (и почему это не всегда GitLab, но иногда все-таки он).

🔹Как Ansible-service проверяет, какую именно версию софта устанавливать (и почему не последнюю, а ту, что написана в inventory).

Если бы хосты могли разговаривать, они бы, конечно, сами разобрались, куда ходить за DNS, где их контроллер домена и кто им должен выдавать учетные данные. Но раз они немые, все приходится прописывать руками — и тут на сцену выходит hostvars[].

Читайте статью на Хабре.

А какая у вас история страданий приключений с Ansible?

Скоро будет не просто тепло, а по-настоящему горячо: встречай Международные игры по кибербезопасности!

А точнее — предстоящий сезон крупнейших независимых соревнований для старшеклассников, студентов и начинающих специалистов в сфере кибербезопасности.

⁉️ Когда?

С 10:00 24 апреля до 22:00 25 апреля (по МСК) — почти двое суток битвы без перерывов.

🔥 Что тебя ждет?

• Практика на реалистичных копиях инфраструктур.
• Возможность попробовать себя в роли атакующих или защитников.
• Общение и нетворкинг с единомышленниками.

Что ждет победителей весеннего сезона?

Атакующие: ТОП-2 команды примут участие в легендарной кибербитве Standoff 15 в мае этого года без отборочных.
Защитники: ТОП-2 команды посетят кибербитву Standoff 15 на PHDays Fest.

Как попасть в Игры?

Переходи по ссылке, читай подробности и оставляй командную заявку. Торопись, срок регистрации ограничен!

🔹 Мы подготовили не только хардкорные задания, но и комьюнити: тебя ждут знакомства с опытными участниками Standoff, поддержка на всех этапах и никаких требований по стажу в 50 лет.

Наши партнеры — CyberCamp от Инфосистемы Джет и CyberEd — также приготовили крутые испытания и замечательные призы!

Если ты старшеклассник, студент или начинающий специалист, который хочет проверить свои навыки на практике, — собирай команду и регистрируйся прямо сейчас!

Да начнутся Международные игры по кибербезопасности! 🔥

Этим солнечным днем подвезли вам новые программы кибериспытаний

☀️ Чтобы вам было чем заняться, пока весеннее солнце делает приятнее на душе и радует глаз.

А если за окном все еще надоевшая зима, то дождаться тепла будет проще вместе со Standoff Bug Bounty. 🌸

Теперь на платформе активно 57 программ!

Встречайте новичков ⤵️

• СберКорус
• PenaQuiz
• Русдверь
• AdSensor
• Турбоцентр

А в комментариях мы дадим список программ, которым все еще не хватает хороших отчетов. Они вас ждут! ⤵️

А какой сегодня ты Юра Борисов? 🧐

Standoff 15: официальный канал коммуникации открыт

⭐️ Standoff 15 приближается, а это значит, что пора подключиться к официальному каналу коммуникации и быть в курсе всех дел.

🔊 Что будет в канале?

🔹 Все важные анонсы о битве.
🔹 Прямой контакт с организаторами: вопросы и ответы, технические моменты.
🔹 Общение с участниками: ищите тиммейтов, делитесь тактиками, обсуждайте стратегии.

👾 Присоединяйтесь к каналу сейчас, чтобы не пропустить ничего важного! 👾

Весна все ближе, а программ кибериспытаний — все больше

☀️ Не скучаете? И не будете! Да-да, представляем вашему вниманию 4 новые программы, которые уже ну очень хотят ваших отчетов как и мы.

Вот они:
• «Лемма»
• АБП2Б
• Seowork
• «Робот Карл»

☺️ Кстати, всего активных программ сейчас на Standoff 365 — 52. Так, к слову. А «Лемма» уже успела получить несколько хороших отчетов.

Ломай их, пока за окном все еще холодно, а дома, вместе со Standoff 365, уютно. 🌸

P.S. Пока мы писали этот пост, вы закрыли еще 1 недопустимое событие. А это значит, что вас ждут еще 52 млн рублей. 😉

У нас появился новый хост на онлайн-полигоне Standoff в сегменте Standalone

🔥 И это не просто новый скучный хост: у него есть свое название и уникальная легенда. А у тебя есть возможность реализовать критическое событие и заработать баллы!

STANDOFF TECH CONGRESS — закрытая секретная конференция, где обсуждают ключевые национальные вопросы государства F, его безопасность, политические и экономические тайны. Пропуска? Да, их выдают только избранным. Но разве это остановит тебя?

Твоя выполнимая миссия:

🆔 Подделать пропуск для сотрудника Smart Fleet Logistics.

🖨 Создать и распечатать бейдж на имя Standoff Xakep.

🏆 Если все сделано правильно, то на пропуске появится флаг — сдай его и получи баллы за реализацию критического события.

Хост: techcongress.standalone.stf

Если ты не VIP — сделай из себя его сам. 👑

Благодарим команду 5HM3L, которая помогла разработать такой крутой хост в рамках хакатона Standoff 365. А если и вам хочется поучаствовать в развитии Standalone — пишите @k4riN44.

Сотни, а может, даже тысячи багхантеров соберутся 27 февраля на VK Security Confab #3 😎

Среди них будет легенда багхантинга — Юрий Ряднина aka circuit. Он и тебя приглашает присоединиться к митапу, который пройдет офлайн в Москве (никаких трансляций и записей не будет, так что эксклюзивчик).

🗒 В программе:

• Планы VK на багбаунти в 2025 году.
• Разбор триажа изнутри.
• Лайфхаки от SavAnna о том, как уменьшить количество дубликатов (бесят же?).
• Реальные кейсы от zerodivisi0n, приводящие к удаленному исполнению кода.
• Дисклоузы крутых уязвимостей VK от circuit.

А после — афтепати ✌️

Начнется все в 19:00, чтобы попасть, нужно зарегистрироваться.

Если бы закрытие недопустимых событий было олимпийским видом спорта, у вас уже было бы золото

Мы подозреваем, что багхантеры не спят, не едят и работают в режиме 24/7, потому что меньше чем за сутки после нашего поста вы закрыли еще 6 НС. Теперь у нас 12 закрытых программ, а значит:

🍋 12 млн уже отправлены победителям.
💸 47 млн все еще ждут тех, кто их заберет.

Похоже, если мы будем анонсировать новые программы чаще, кто-то из вас купит себе остров. 🏝

🔥 Кстати, некоторые программы чувствуют себя одиноко и ждут, когда их поломают на них обратят внимание:
• Международная академическая клиника
• Integrity Group
• WhateverShop
• CyberED
• Федеральный исследовательский центр «Казанский научный центр Российской академии наук»

Продолжайте в том же духе, но не забывайте отдыхать (ну хотя бы пару часов). 😏

Полный список программ, которые ждут твоих крутых отчетов, смотри в комментариях ⤵️

С Днем святого Валентина, любимые слоняры! 💌

Сегодня уязвимости снова ждут, что вы их заметите. 🫶
Они шлют вам валентинки, признаются в своих слабостях и надеются, что вы будете нежны… но беспощадны.

❤️ Любите баги и уязвимости, но отвечайте им отказом.

Больше багхантеров в команде — больше 🍋 в кармане

Например, взгляни на багхантеров remembernamer & mimicate и AlexShev & act1on3, а также FedyaSyel с командой, которые, работая вместе, реализовали 3 недопустимых события в программах кибериспытаний. Они навыжимали на 3 млн рублей!

💡 Кстати, 6 программ уже в архиве, но чтобы было не скучно — добавили сегодня ещё 14 новых! Теперь для тебя доступно 48 программ, на которые ты можешь наброситься в одиночку, а можешь взять подмогу и багхантить вместе с товарищами.

Платформа Standoff Bug Bounty ждёт тебя. Все получится. 🔥

⏰ Cпишь? Вставай! Заявка на Standoff 15 сама себя не подаст.

Кибербитва пройдет во время фестиваля Positive Hack Days 21–24 мая.

А заявки на отборочные мы начинаем принимать сегодня и заканчиваем 12 марта. Автоматом туда залетают 22 команды по итогам двух прошлых кибербитв. Еще десятку добавим по результатам экспертного отбора.

Без отборочных напрямую в финал проходят:

🔵топ-6 команд STF 14
🔵топ-10 команд STF 13
🔵топ-2 с Международных игр по кибербезопасности осеннего сезона 2024 года и весеннего 2025-го (всего 4 команды)

Эти ребята пока могут чилить или неспешно начинать тренироваться. Если ты не из них, собирай команду, заявляйтесь и готовьтесь удивлять наш экспертный совет своими навыками.

В ближайшее время напишем о новой механике кибербитвы и поделимся другими подробностями. Спойлер: в этот раз ломать предстоит системы одного Государства F, но в новой модификации.

P.S. Скоро еще расскажем, что там со следующими Международными играми по кибербезопасности. Жди анонса!

Был крит — стала ачивка

Получили доступ к управлению сервером платежей? Реализовали утечку информации, составляющую банковскую тайну? Бегом проверять профиль!

⭐️ Обновление онлайн-полигона для красных в самом разгаре, и банковские критические события потихоньку отправляются в архив, но ваши подвиги — нет! Если вы успели реализовать какие-то события, в профиле на Standoff 365 вас ждет ачивка.

☀️ Можно выдохнуть: обнуления баллов пока не будет — пусть цифры порадуют еще немного.

Мы работаем над новыми сценариями и механиками, так что впереди — крутые вызовы и достижения. Следите за новостями!

Проверьте свои ачивки в профиле — заслуженные награды ждут вас. 🏅Кстати, недавно мы также выдали ачивки тем участникам платформы багбаунти и онлайн-полигона, которых награждали на встрече топов года!

🛠 DevOps говорит «это просто», а ты уже неделю конфигурируешь Ansible

На киберполигоне Standoff мы решили автоматизировать процесс конфигурации: сделать так, чтобы инфраструктура развертывалась по кнопке и сразу была готова к работе. В первой из серии статей Вячеслав Валенко, руководитель группы автоматизации Standoff, рассказывает, как мы к этому пришли.

💡Что мы хотели?

Создать user-friendly-конфигуратор, в котором можно визуально собрать инфраструктуру, передать ее в систему развертывания (Deployer) и мгновенно получить рабочий полигон.

🔨 Что сделали?

🔹 Взяли Ansible, но пересмотрели стандартный подход.
🔹 Отвязали группы хостов от их функционала и дали им сетевую роль.
🔹 Сделали так, чтобы каждый сервер сам знал, где DNS, где логиниться и какие сервисы доступны.

А получили — развертывание сложных инфраструктур за считанные минуты, готовность сервисов без ручной настройки и минимум затрат на поддержку.

Разбираем все тонкости в статье на Хабре. Подписывайтесь на автора и следите за продолжением: в следующей статье Вячеслав расскажет, как, используя сформированную структуру инвентаря Ansible, интегрировать хосты между собой.

Как заработать 🍋🍋🍋 на кибериспытаниях?

Спросили об этом у remembernamer (он же mr4nd3r50n), который точно в курсе. Да, он — тот самый слоняра герой, который подряд реализовал целых три недопустимых события.

Попросили его поделиться секретом своей крутости и ответить на несколько вопросов. Что получилось — несем в канал. Читай, вдохновляйся и го багхантить.

— Что тебя привело в программу кибериспытаний?
— Хотел взять перерыв от обычного формата багбаунти, заметил программы с НС, и заинтересовался, почему же в них все еще нет реализованных кейсов.

— Ну и как, сложно было?
— Если привыкаешь искать баги в рамках обычных программ багбаунти, может быть сложно, так как тут нужен немного другой подход. Это скорее пентест, за который тебе не заплатят, если ты не достигнешь обозначенной цели. При этом в сроках ты относительно неограничен, и никаких обременений вроде договора, обязывающего тебя выполнить работу, естественно, нет. Есть время — ищем, нет — нет.

— Чем для тебя кибериспытания отличаются от обычных программ багбаунти?
— Относительной развязанностью рук и наглядным сопоставлением уязвимостей с возможными последствиями. Где, как не здесь, мы в состоянии лично доказать, что какая-нибудь XSS (за которую порой платят лишь одобряющим похлопыванием по плечу) действительно может иметь критический импакт, если будет докручена до угона аккаунта администратора с последующей кражей персональных данных всех клиентов компании? То есть тех вещей, которые бизнес уже прекрасно понимает.

— Пришлось ли срочно прокачиваться и искать какую-то дополнительную информацию?
— Если честно, не так давно я вообще занимался разработкой. А сменить направление и прокачаться мне в свое время очень помогли курсы WAPT от Codeby и «Специалист по тестированию на проникновение» от CyberED (CSRn9 — лучший поток). Ну и куда без классики: PortSwigger, HTB, кофе и кофе (тут мог бы быть здоровый сон, но его заменил еще один кофе).

— Что оказалось самым сложным, а что — наоборот?
— Найти первый потенциальный вектор, как это ни странно, оказалось достаточно просто, тут мне повезло. А самым сложным было его отпустить и переключиться на поиск другого. Казалось бы, ну вот же уязвимость, нужно вот только еще немного... а вектор оказывался «кроличьей норой» — в итоге никак не мог способствовать твоему продвижению и реализации недопустимого события в дальнейшем.

— Что посоветуешь тем, кто сомневается, пробовать или нет?
— Читайте открытые репорты, старайтесь быть в курсе актуальных уязвимостей и разбирайтесь, как они работают. Больше практикуйтесь на лабах, проектах и просто try harder.

— На что планируешь потратить свои 🍋🍋🍋?
— Ну тут все просто: уже полученные баунти лягут в основу первоначального взноса по ипотеке, а все будущие, надеюсь, помогут ее успешному досрочному закрытию. Так что ждем новые компании на кибериспытаниях (скажите заранее, я возьму отпуск).

В общем, как видишь, хорошие сапоги программы, надо брать. Выбирай любую из 37 открытых на Standoff Bug Bounty.

Сайт попросил оставить отзыв, но ты оставляешь XSS

🕵️‍♂️ Как найти уязвимость в вебе, если ты новичок?

Взлом приложений кажется чем-то сложным? Анна Куренова, DevSecOps-инженер, докажет, что это не так! В свежей статье она рассказывает о базовых веб-уязвимостях, которые по силам даже тем, кто только начал разбираться в багхантинге.

У вас есть Burp Suite, базовые знания о вебе и немного любопытства. Что можно сделать?

✔️ Подменить ID в запросе и залезть в чужую корзину.
✔️ Внедрить скрипт в форму поиска, чтобы атаковать пользователей.
✔️ Подсунуть серверу поддельный XML и вытянуть файлы.

Вся магия происходит в Juice Shop — тестовом онлайн-магазине, наполненном уязвимостями. Анна покажет, как анализировать HTTP-запросы с помощью Burp Suite, изменять параметры и находить дыры в безопасности.

📌 Статья будет полезна:
✅ Новичкам, которые хотят попробовать себя в багхантинге.
✅ Разработчикам, которые хотят понять, как атакуют их сервисы.
✅ Тем, кто хочет разбираться в основах веб-безопасности.

📖 Читаем статью.
🎥 Смотрим разбор на видео.

На платформе Standoff 365 пройдут технические работы 🚧

Сегменты онлайн-полигона для профи и для новичков будут недоступны 4 и 5 февраля с 12:00 до 18:00.

Вся остальная платформа будет работать в штатном режиме.

Каждый ответ — верный 👍

И тому есть доказательства. Из недавних — багхантер remembernamer (он же mr4nd3r50n), который реализовал 3 (!) недопустимых события в программах кибериспытаний (да, о которых мы рассказали сегодня). И получил за это 3 млн рублей 🍋🍋🍋

Делимся комментарием этого монстра:

НС норм тема, зря не смотрите)

Поддерживаем этого оратора. Прямо сейчас на Standoff Bug Bounty доступно 28 программ кибериспытаний, а в течение первого квартала их станет еще больше.

На что потратит remembernamer заработанное? 💰

Он планирует купить квартиру в Москве! Толя поддерживает.

Хочешь так же? Платформа Standoff Bug Bounty доступна для тебя 24/7.

✨ Новые. Открытые. Твои.

Это мы о программах кибериспытаний, которые появились на Standoff Bug Bounty в рамках сотрудничества с АО «Кибериспытание». Чтобы их запустить, наш партнер выделил фонд в размере 100 млн рублей для выплат багхантерам.

🪙 Уже сейчас программы доступны у 28 компаний из сфер образования, науки, медицины, транспорта, информационных технологий и безопасности. В течение первого квартала 2025 года на кибериспытания выйдут совокупно 100 организаций.

💪 Важное отличие этих программ от остальных: тебе надо не просто найти баг, а отыскать уязвимость или цепочку уязвимостей, которые приведут к реализации недопустимого для компании события. В списке таких событий, например, взлом аккаунтов первых лиц, кража денег и данных, шифрование информации, остановка производства…

Багхантер, который в течение трех-шести месяцев первым благополучно сдаст отчет по любой из экспресс-программ, получит 1 млн рублей. О том, что это произошло, ты узнаешь, когда программа отправится в архив и на ней появится соответствующая отметка (кстати, таких отметок там уже три!).

Больше подробностей — в новых программах на Standoff Bug Bounty.

💵 Не терпится стать миллионером? Попробуй реализовать недопустимый сценарий прямо сейчас!