В итоге я отвоевал валидную SQL injection из статуса N/A в статус Informative. Но от объяснений команды я просто в шоке. Получил я их не сразу, так как сначала они ответили в приватном сообщении, которое мне недоступно.
Предлагаю прочитать их ответ ☝️

Просто вдумайтесь — сервис не их, но он “using the same infrastructure”.
А если зайти на страницу Data Protection and Privacy, то там указан email-адрес их организации.
То есть баг принимать не хотят, потому что “it is not in our legal entity”, хотя на странице Datenschutz получается замкнутый круг.

А риски того, что это "same infrastructure" их почему-то мало волнуют, хотя я на них явно указал. 🤦‍♂️

Многие читают и думают, что ткнул кавычку — и открывается кнопка “бабло”. А по факту приходится проходить невероятные круги ада. Вот прям отличный пример.

В скоупе — auth.example.com, но скуля нашлась на example.com. И она аффектит не только auth.example.com, но и другие сервисы, которые в скоупе программы. Однако сам example.com не указан в program scope. А значит, валидную скулю с доступом в 26 баз данных на localhost можно закрыть как N/A. И это реально закрыл триажер HackerOne, который сам решил за компанию “Example”, какие там риски от утечки данных через SQL injection.

В такие моменты прям хочется вывалить такую скулю в Twitter и пусть все развлекаются, раз репорт — N/A. Но, по понятным причинам, так не делаю и “на вентилятор” обоим компаниям не накидываю — не заслуживают они хейта из-за триажера, который сидит в Египте и разгребает пачки говнорепортов.

Ситуация, мягко говоря, не из приятных. И не хотелось дёргать ради такого Hacker Success Manager… Но, видимо, настало его время раз он у меня есть :)

Лучшее средство для избавления от Imposter syndrome по рекомендации OWASP Top 10 [A03].
PS: Главное чтоб не дубль 😁🤞

Ну что, вайб-кодеры и вайб-хакеры, кажется, настало ваше время 👾
Доставайте свои универсальные промт-инжекты и навыки социальной инженерии — Яндекс запускает весьма интересный конкурс в области своих генеративных сетей.
Мне, кстати, самому удалось найти “Training Data Poisoning” в одной из компаний из числа FANG. Ребята были неприятно удивлены, что playground для тренировки модели оказался не защищен от посторонних вроде меня. Теперь и у вас есть шанс найти что-то подобное.

Советую не забывать поиграть в приёмы телепортации во времени — LLM это любит.
А ещё можно попробовать нарисовать ордер на получение данных 😏 Полные условия ниже 😉

Проверяем на прочность генеративные нейросети Яндекса

Это новый сезон «Охоты за ошибками». Команда приглашаем вас найти уязвимости в наших системах и приложениях — на этот раз на территориях генеративных сетей. Ждём отчёты об ошибках, которые могут повлиять на результаты работы и процесс обучения нейросетей: например, привести модель к сбою или изменить её поведение так, чтобы это затронуло работу других сервисов Яндекса.

Успешных охотников ждут отличные выплаты: от пятидесяти тысяч до миллиона рублей. Размер вознаграждения зависит от серьёзности ошибки, простоты её эксплуатации и воздействия чувствительной информации. Наиболее критичные уязвимости — это баги, которые позволяют раскрыть данные о внутренней конфигурации модели, её служебный промпт с техническими данными или другую чувствительную информацию.

В программе участвуют все сервисы с YandexGPT или YandexART на борту:
🔸 Алиса
🔸 Поиск с Нейро
🔸 Шедеврум

И другие, включая те, где ML-модель используется только для ранжирования и поиска.

Все подробности ищите здесь
#партнерский_пост
Реклама. ООО "Яндекс". ИНН 7736207543

Дядя Джеймс начал использовать ChatGPT Deep Research Model, и кажется нас ждут серьезные и интересные техники атаки на веб, о которых даже он не догадывался. Вангую что он продолжит насилие над техниками смаглинга и реверс прокси 🥲
Кто-то из читателей уже применял в своей работе и багбаунти Deep Research с вдохновляющими результатами? Не желаете поделиться в комментах?
Я как минимум помню историю, когда Игорь из PT напихал XXE в браузер. Но то был даже не Deep Research а "простой" ChatGPT.

Eсть у меня один приятель, с которым время от времени случаются продуктивные коллабы на bug bounty. Причём он даже не багхантер, а скорее разработчик на консалтинге, который однажды соприкоснулся с моим репортом.

В очередной раз он притащил в наш чат какие-то результаты в виде self-XSS. Но, к моему удивлению, он не оставил эту историю как есть, а допихал self-XSS через wkhtmltopdf и wicked_pdf(Ruby wrapper) в максимально опасную RCE. Причём с RCE его явно хотели прокатить в оценке критичности, ну и я ему подсказал, в каких файлах можно пошариться для определения действительно правильной критичности. В итоге он получил заслуженный critical. И даже написал статейку об этой находке.
PS: мне кажется я бы даже не стал пытаться допинывать self-xss. Но видимо пришло время пересмотреть свои взгляды на мир client-side issues🙈
https://medium.com/@handball10/from-self-xss-to-rce-in-ruby-on-rails-1f9f2d33c1cb

Скам в сети выходит на новый уровень. Сначала я думал, что у блогеров просто закупили рекламу, в которой они не стали разбираться.
Но потом стало ясно, что "блогеров" заставили говорить нужные вещи с помощью AI, подсовывая при этом скамерскую ссылку.

Скамерский сервис для интересующихся - https://lucia.ecunru.com/
Скамерский api - getyourapi.site/api/leads

PS: и не переживайте, мне донаты пока не нужны раз такая реклама вылезла 😁 Это скорее плохо таргет настроили.

Совпадение это или нет, но именно с сегодняшнего дня можете называть себя AI-Powered Пентестерами! 🦾

Какое-то невероятное чувство ностальгии, когда сложилась рабочая DOM XSS.
Это показатель легаси софта в 2025 году? 🤨

Малварь рисёрчеры и реверсеры видимо тоже скоро следом за веберами пойдут на курсы пекарей, электриков и плотников? 🤨
LaurieWired скрестила Ghidra с LLM. Получилось очень хорошо.
Ссылка на проект тут.

Похоже, что золотая эпоха багхантинга не за горами 😏

Иногда можно долго читать пост о том как будет полезно поставить очередной аддон в браузер или в BurpSuite.
В этот раз я бы даже читать не стал, а сразу бы поставил. Нет сомнений что оно может случайно найти что-то крутое и полезное. В моем случае с браузерным аддоном такое случалось не раз и не два 💁‍♂️
PS: не забывайте поглядывать за съеденной памятью тачки в процессе работы 🥲

Результаты прошлого года продолжают меня догонять. В этот раз меня догнал очередной инвайт на Live Hacking Event в Сиэтле с полным покрытием поездки туда и обратно. И вроде бы круто — виза уже есть, просто садись и лети. Но с января я настолько замедлился в поиске уязвимостей, что пока просто не могу морально представить, как придется рубиться с другими ребятами за хорошие результаты в лидерборде на протяжении нескольких недель. Я начал заниматься немецким, а Apple Watch регулярно поздравляет как я достиг нормы сна.
Да и вообще, мои планы на начало апреля были явно другими — я точно не собирался променять Фреда Дёрста на гонку за багами 🤘

PS: Приятно понимать что я пришел к тому уровню о котором мечтал. Еще более приятно понимать что я могу скипнуть такой инвайт без сожаления.

В одном интересном паблике автор решил воспользоваться современными технологиями и платными AI подписками.

“Отправил Deep Research + o3 собирать отчет по актуальной для многих теме — «Как найти работу мечты?»”. Полные результаты исследования можно найти тут.

Результаты оказались очень интересными. Теперь я нашел для себя объяснение, почему могу пропустить обед на работе и вспомнить о нем только к концу дня. А еще это объясняет, почему я с таким увлечением могу сидеть за монитором до 3 часов ночи без желания идти спать. Главное — не переборщить и находить “золотую” середину. В начале этого года я заметил спад в увлеченности и уехал перезаряжаться в горы. Кажется, это помогло 🏂🏔🫶

Много лет назад, когда я начинал свой путь в security, первой ступенькой в mobile security для меня стали доклады Дмитрия Лукьяненко. На тот момент он работал Android разработчиком и в свободное время занимался багхантингом.

Спустя столько лет я был очень рад встретиться с ним, поговорить о его пути, мотивации и результатах, которых он добился. Быть лучшим исследователем для многих крупных компаний — это заслуга, достойная огромного уважения!

Спасибо, что нашел время и поделился своим опытом!
Подписывайтесь на канал, ставьте лайки, оставляйте комментарии под выпуском 🫶

Интересное чтиво о том как Lazarus обнесли Bybit на полтора миллиарда. При том что подобная цепочка проблем на багбаунти была бы оценена в 500$. Тот момент когда «300$, лучше б блэчил» свершилось 💁🏻‍♂️

https://x.com/s1r1u5_/status/1894841634061459745?s=46&t=CF0Vh-Z-vc7fuRxW3gUbMw

Кто угадает героя в этот раз?
Как мне кажется, это единственный хакер из СНГ, получивший HackerOne MVH(Most Valuable Hacker) Belt!

Ребята из Министерства обороны США (U.S. Department of Defense) решили посмотреть, кто там лучше всех "пентагон ломал" в 2024. В итоге этим лучшим оказался Поросёнок из Ижевска.

По правде говоря, в 2024 году я просто собрал годные баги на случай, если в посольстве придется доказывать, почему я заслуживаю визу для поездки на HackerOne Event. Но я точно не планировал стать лучшим за год! 😂 Теперь есть жгучее желание насобирать в 2025 что-то интересное и снова оказаться в зале славы DoD.

Невероятными усилиями дополз до 50 валидных P1 Reports на Bugcrowd! Теперь можно ожидать худи "P1 Warrior", которая будет у меня и еще у горстки сумасшедших ребят. Однако в моем случае все репорты были не через VDP без майнинга статистики. Т.е буквально через hard mode.

Честно говоря, далось это большой ценой — даже немного подвыгорел из-за решений в последних отчетах. Столько кринжа пришлось прочитать... Но об этом будет отдельный пост. Не переключайтесь 😉

График на столько плотный, что даже нет времени на составление парочки критичных репортов 😂
А как у вас дела? 😎