PHD в этом году

500 спикеров официально подтверждено! Это невероятные просто цифры, настоящий уровень мероприятия - вот он. Делегации из 41 государства посетят PHDays fest в этом году. В Лужники приедут уважаемые люди из стран Латинской Америки, Африки, Ближнего Востока и Азии [[весь мир]]. Уверен, что тысячи человек из России придут посмотреть, послушать доклады и поучаствовать в конкурсах. Мне особенно интересно будет посетить доклады от иностранных исследователей про Багбаунти, задать вопросы. Программу уже частично опубликовали. Ну и в конкурсах, надеюсь, также поучаствовать сам.

🤑🤡💳 XSS в чате

Наверное одно из самых опасных мест для XSS - это личные сообщения ВКонтакте. Вот так и получилось - в функционале импорта товаров, заливая специально сформированный XML с пэйлоадом в атрибуте, удалось найти эту уязвимость. Не было фильтрации. Потом выяснилось, что сообщение еще можно было и переслать [это делает дыру еще опасней]. Сами знаете, к чему может привести XSS в такой большой социальной сети.

Совет:

подпишитесь уже на мой канал и включите эти уведомления, чтобы не пропустить посты о моих лучших находках

❤️🛍✌️ как получить скрытых подписчиков

Мониторил всякие тестовые группы разработчиков в социальной сети ВКонтакте, [чтобы найти какой-то новый функционал или старый, о котором я не знаю] - в одной из групп были скрытые подписчики. Меня это конечно же не устроило, я решил байпасить это окошечко. Соврешенно случайно попалась эта ссылка https://vk.com/search/people?group_id=219881844 - подставил туда айди и подписчики группы раскрылись. Получил 26 000 ₽ на ровном месте.

Совет:

иногда полезно посмотреть тестовые группы разработчиков, или любой другой функционал где разработчики что-то тестируют - это помогло найти мне очень много уязвимостей

KHS Talks: Сергей Белов и Олжас Сатиев о мифах в кибербезопасности.

KHS Talks — подкаст о кибербезопасности, где мы простым языком говорим о том, что на самом деле важно. Для обычных пользователей и для бизнеса — без сложных терминов, но по делу. Обсуждаем всё: от новостей до трендов и реальных кейсов.

В пилотном выпуске вместе с нашим гостем Сергеем Беловым, директором по информационной безопасности, мы поговорим о мифах, которые до сих пор живут в сфере ИБ. Что из этого уже давно неактуально?

1. Мифы о кибербезопасности. 2025 год: какие есть проблемы?
2. Взломы в 2010-ых. Время без https
3. За 15 лет поменялось многое. TLS сертификат
4. Можно ли пользоваться публичным Wi-Fi? Виртуальные карты. Как догонять людей с помощью Wi-Fi
5. Смена паролей. 12345Аа!
6. Режим Инкогнито в браузерах
7. Антивирусы. Нужен ли нам отечественный антивирус?
8. Компьютерные клубы. Риск взломов
9. DLP и Кибербез. Мониторят ли компании сотрудников?
10. Автозаполнения тогда и сейчас
11. Безопасна ли продукция Apple? Вирусы для MacOS
12. VPN, как дополнительное место атаки
13. Расширения в браузерах и Cookies
14. Евросоюз станет лидером в кибербезопасности?
15. Кибербезопасность — не тренд, а фундамент

Смотрим на YouTube канале:

https://youtu.be/QFotK9T8Mig?si=22fjDO0pJiU7BDFX

😎😤🤪 ХХС

При написании этого отчета вдохновился отчетами багхантера linkkss. Еще со времен HackerOne помню что он называл свои отчеты коротко и ясно: CSRF, XSS. В спешке, пока пытался составить репорт, перепутал одну букву и получилась ХХС. Ну а про саму уязвимость - это была классическая XSS в уведомлении, ничего выдающегося и сложного. Удивило место где она была, достаточно было просто вставить в первое попавшееся поле '">, потом нажать на кнопку и отрабатывал JS-код.

Совет:

Если на сайте реализованы уведомления (всякие всплывающие окошки) - имеет смысл попробовать внедрить payload туда. По своему опыту знаю, что там очень часто бывают XSS.

😱❔🤨 +!++@+@#!$+!@$#+!@+#$РАСКРЫТИЕ ПОДПИСЧИКОВ И НАЗВАНИЯ ЧАСТНЙО ГРУППЫ!+!++@+@#!$+!@$#+!@+#$

Вот эту багу удалось найти очень легко. Перемещался кликами по поиску ВКонтакте и увидел такую ссылку - https://vk.com/search/people?c[group]=ид_какой-то_группы. Я знаю что группы в социальной сети ВКонтакте начинаются с минуса обычно, но тут минуса не было. Для открытой группы я таким образом получил участников. Сразу появилась идея - а что если подставить туда ид частной группы? Подставил ид 111 и ничего. Потом добавил минус и раскрылись все участники частной группы, аватарка и название. Так и не понял почему это работало...

Совет:

ставьте минус везде, даже если вам кажется что он тут не нужен

🤯🐥🚨 по этой ссылке https://vk.com/market-219620653?format=yml раскрываются товары частной группы для всех в интернете

Когда искал эту дыру в очередной раз доказал себе, что просто стоит немного посмотреть по-шире. Там где не смотрели другие багхантеры. В итоге нашел её через сторонний сервис. Можно было легко и просто получать товары для любой частной группы - кроме информации о товарах ничего не возвращалось, к сожалению. А функционал нужен был для того, чтобы легко, собственно, эти товары и подтягивать в свой рекламный кабинет.

Совет:

Внимательно ищите и проверяйте различные функционалы импорта/экспорта - там часто бывают интересные баги.

🤯🧠😎 Про сайт

За последнюю неделю более чем 500 пользователей посетили страницы моего сайта и сгенерировали около 3500 тысяч просмотров для рейтинга и других страниц. Пользователи просматривают в среднем 5 страниц, прежде чем выйти с сайта - это отличный показатель. Некоторые представители программ (вендоры) уже запросили доступ к статистике и возможности отвечать на комментарии пользователей - я выдал доступы. Мне важно чтобы у пользователей к рейтингу оставалось доверие - поэтому я обсуждаю с представителями платформ как сделать сайт максимально прозрачным и справедливым. Также я внедряю механизмы, чтобы повышать уверенность самих пользователей в справедливости рейтинга. Таким образом были внедрены графики просмотров и переходов за последние 7 дней для каждой программы. Вы видите их в прикрепленной фотографии. Я хочу чтобы рейтинг нужен был не только для того, чтобы высказать мнение, хочу чтобы он был одинаково полезен как программам, которые смогут получить себе новых багхантеров, так и пользователям, которые смогут выбрать себе крутую программу.

https://eh.su/vote/vkontakte_vk

🔥🔥🔥 Рейтинг программ запущен

https://eh.su/rating
https://eh.su/rating
https://eh.su/rating

Голосовать можно только при входе через Telegram, в перспективе будет добавлены другие социальные сети. Каждый пользователь может отдать 10 голосов в день за свои любимые программы. Можно еще оставить комментарий, если хотите. В рейтинге есть топ голосующих, благодаря которому 5 пользователей получат призы по итогам месяца (ТОП-1 получит 15000 рублей, ТОП-2 получит 10000 рублей, а ТОП-3 получит 5000 рублей прямо на карту). Еще два человека случайным образом будут выбраны из всех остальных проголосовавших хотябы раз - и тоже получат свои призы. Крутые футболки от Багхантера. Вендоры уже могут заявить права на свои программы, чтобы получать статистику переходов и голосов, а также удобно отвечать на комментарии пользователей, все заявки будут разобраны и одобрены до конца следующей недели, когда соберется статистика.

Сайт написан так, что с него даже нечему утекать. Все данные, которые пользователь передает при регистрации - они итак в открытом доступе. Сайт вообще не хранит никаких персональных данных. Но а для тех кто боится раскрывать данные своей телеги - есть анонимные аккаунты.

Приходите сегодня вечером на прямой эфир в 18:00 - там я отвечу на вопросы пользователей и подробней покажу функционал сайта, расскажу что буду делать дальше.

Если остались вопросы - пишите напрямую в личку @telegadlyasvyazi2

Всех поздравляю с запуском крутого рейтинга!)

Вот этим ребятам большое спасибо за то что помогли протестить :)

Для Alex Shev отдельное большое спасибо 🚧

Т-Банк лидирует в тестовом рейтинге 🎉

Рейтинг программ by Багхантер. 15-16 числа все начнём голосовать.

https://reports2.zaheck.ru/reports/36

За уязвимости добавлю в зал славы и на PHD подарю футболку.

🔥Новый раздел на сайте

Уже можно потыкать, потестировать. Скоро релиз.

https://reports2.zaheck.ru/rating

https://reports2.zaheck.ru/reports/33

В «Репортах простым языком VIP» уведомления о новых программах появляются иногда даже раньше, чем об этом сообщают площадки

https://t.me/+wTTnvddt6n9kOGY0

🔥 Платформа Standoff365: новая программа Positive Technologies (продукты)

https://bugbounty.standoff365.com/programs/pt_product

🔥 Платформа BI.ZONE: новая программа МКБ

https://bugbounty.bi.zone/companies/mkb

https://reports2.zaheck.ru/reports/24

🎸😠😒 5 крутых уязвимостей ВКонтакте

Именно про них я и расскажу 27 февраля в Москве на VK SECURITY CONFAB. Если в прошлый раз я рассказывал про 3 low уязвимости, то сейчас я постарался выбрать такие уязвимости, которыми я горжусь. Настоящий эксклюзив - записи не будет. Только 27.02 - только в этот день.

Регистрируйтесь по ссылке, приходите посмотреть.

🐹 Багхантер 🙂 Багбаунти

https://reports2.zaheck.ru/reports/11

https://reports2.zaheck.ru/reports/7

EH.SU скоро, а пока можно потестить репорты по ссылке https://reports2.zaheck.ru/reports/6 📷