Это мы о программах кибериспытаний, которые появились на Standoff Bug Bounty в рамках сотрудничества с АО «Кибериспытание». Чтобы их запустить, наш партнер выделил фонд в размере 100 млн рублей для выплат багхантерам.
Багхантер, который в течение трех-шести месяцев первым благополучно сдаст отчет по любой из экспресс-программ, получит 1 млн рублей. О том, что это произошло, ты узнаешь, когда программа отправится в архив и на ней появится соответствующая отметка
Больше подробностей — в новых программах на Standoff Bug Bounty.
Please open Telegram to view this post
VIEW IN TELEGRAM
На платформе Standoff 365 пройдут технические работы 🚧
Сегменты онлайн-полигона для профи и для новичков будут недоступны 4 и 5 февраля с 12:00 до 18:00.
Вся остальная платформа будет работать в штатном режиме.
Сегменты онлайн-полигона для профи и для новичков будут недоступны 4 и 5 февраля с 12:00 до 18:00.
Вся остальная платформа будет работать в штатном режиме.
Сайт попросил оставить отзыв, но ты оставляешь XSS
🕵️♂️ Как найти уязвимость в вебе, если ты новичок?
Взлом приложений кажется чем-то сложным? Анна Куренова, DevSecOps-инженер, докажет, что это не так! В свежей статье она рассказывает о базовых веб-уязвимостях, которые по силам даже тем, кто только начал разбираться в багхантинге.
У вас есть Burp Suite, базовые знания о вебе и немного любопытства. Что можно сделать?
✔️ Подменить ID в запросе и залезть в чужую корзину.
✔️ Внедрить скрипт в форму поиска, чтобы атаковать пользователей.
✔️ Подсунуть серверу поддельный XML и вытянуть файлы.
Вся магия происходит в Juice Shop — тестовом онлайн-магазине, наполненном уязвимостями. Анна покажет, как анализировать HTTP-запросы с помощью Burp Suite, изменять параметры и находить дыры в безопасности.
📌 Статья будет полезна:
✅ Новичкам, которые хотят попробовать себя в багхантинге.
✅ Разработчикам, которые хотят понять, как атакуют их сервисы.
✅ Тем, кто хочет разбираться в основах веб-безопасности.
📖 Читаем статью.
🎥 Смотрим разбор на видео.
🕵️♂️ Как найти уязвимость в вебе, если ты новичок?
Взлом приложений кажется чем-то сложным? Анна Куренова, DevSecOps-инженер, докажет, что это не так! В свежей статье она рассказывает о базовых веб-уязвимостях, которые по силам даже тем, кто только начал разбираться в багхантинге.
У вас есть Burp Suite, базовые знания о вебе и немного любопытства. Что можно сделать?
✔️ Подменить ID в запросе и залезть в чужую корзину.
✔️ Внедрить скрипт в форму поиска, чтобы атаковать пользователей.
✔️ Подсунуть серверу поддельный XML и вытянуть файлы.
Вся магия происходит в Juice Shop — тестовом онлайн-магазине, наполненном уязвимостями. Анна покажет, как анализировать HTTP-запросы с помощью Burp Suite, изменять параметры и находить дыры в безопасности.
📌 Статья будет полезна:
✅ Новичкам, которые хотят попробовать себя в багхантинге.
✅ Разработчикам, которые хотят понять, как атакуют их сервисы.
✅ Тем, кто хочет разбираться в основах веб-безопасности.
📖 Читаем статью.
🎥 Смотрим разбор на видео.
🛠 DevOps говорит «это просто», а ты уже неделю конфигурируешь Ansible
На киберполигоне Standoff мы решили автоматизировать процесс конфигурации: сделать так, чтобы инфраструктура развертывалась по кнопке и сразу была готова к работе. В первой из серии статей Вячеслав Валенко, руководитель группы автоматизации Standoff, рассказывает, как мы к этому пришли.
💡 Что мы хотели?
Создать user-friendly-конфигуратор, в котором можно визуально собрать инфраструктуру, передать ее в систему развертывания (Deployer) и мгновенно получить рабочий полигон.
🔨 Что сделали?
🔹 Взяли Ansible, но пересмотрели стандартный подход.
🔹 Отвязали группы хостов от их функционала и дали им сетевую роль.
🔹 Сделали так, чтобы каждый сервер сам знал, где DNS, где логиниться и какие сервисы доступны.
А получили — развертывание сложных инфраструктур за считанные минуты, готовность сервисов без ручной настройки и минимум затрат на поддержку.
Разбираем все тонкости в статье на Хабре. Подписывайтесь на автора и следите за продолжением: в следующей статье Вячеслав расскажет, как, используя сформированную структуру инвентаря Ansible, интегрировать хосты между собой.
На киберполигоне Standoff мы решили автоматизировать процесс конфигурации: сделать так, чтобы инфраструктура развертывалась по кнопке и сразу была готова к работе. В первой из серии статей Вячеслав Валенко, руководитель группы автоматизации Standoff, рассказывает, как мы к этому пришли.
Создать user-friendly-конфигуратор, в котором можно визуально собрать инфраструктуру, передать ее в систему развертывания (Deployer) и мгновенно получить рабочий полигон.
🔹 Взяли Ansible, но пересмотрели стандартный подход.
🔹 Отвязали группы хостов от их функционала и дали им сетевую роль.
🔹 Сделали так, чтобы каждый сервер сам знал, где DNS, где логиниться и какие сервисы доступны.
А получили — развертывание сложных инфраструктур за считанные минуты, готовность сервисов без ручной настройки и минимум затрат на поддержку.
Разбираем все тонкости в статье на Хабре. Подписывайтесь на автора и следите за продолжением: в следующей статье Вячеслав расскажет, как, используя сформированную структуру инвентаря Ansible, интегрировать хосты между собой.
Please open Telegram to view this post
VIEW IN TELEGRAM
Был крит — стала ачивка
Получили доступ к управлению сервером платежей? Реализовали утечку информации, составляющую банковскую тайну? Бегом проверять профиль!
⭐️ Обновление онлайн-полигона для красных в самом разгаре, и банковские критические события потихоньку отправляются в архив, но ваши подвиги — нет! Если вы успели реализовать какие-то события, в профиле на Standoff 365 вас ждет ачивка.
☀️ Можно выдохнуть: обнуления баллов пока не будет — пусть цифры порадуют еще немного.
Мы работаем над новыми сценариями и механиками, так что впереди — крутые вызовы и достижения. Следите за новостями!
Проверьте свои ачивки в профиле — заслуженные награды ждут вас. 🏅Кстати, недавно мы также выдали ачивки тем участникам платформы багбаунти и онлайн-полигона, которых награждали на встрече топов года!
Получили доступ к управлению сервером платежей? Реализовали утечку информации, составляющую банковскую тайну? Бегом проверять профиль!
⭐️ Обновление онлайн-полигона для красных в самом разгаре, и банковские критические события потихоньку отправляются в архив, но ваши подвиги — нет! Если вы успели реализовать какие-то события, в профиле на Standoff 365 вас ждет ачивка.
☀️ Можно выдохнуть: обнуления баллов пока не будет — пусть цифры порадуют еще немного.
Мы работаем над новыми сценариями и механиками, так что впереди — крутые вызовы и достижения. Следите за новостями!
Проверьте свои ачивки в профиле — заслуженные награды ждут вас. 🏅Кстати, недавно мы также выдали ачивки тем участникам платформы багбаунти и онлайн-полигона, которых награждали на встрече топов года!
Кибербитва пройдет во время фестиваля Positive Hack Days 21–24 мая.
А заявки на отборочные мы начинаем принимать сегодня и заканчиваем 12 марта. Автоматом туда залетают 22 команды по итогам двух прошлых кибербитв. Еще десятку добавим по результатам экспертного отбора.
Без отборочных напрямую в финал проходят:
Эти ребята пока могут чилить или неспешно начинать тренироваться. Если ты не из них, собирай команду, заявляйтесь и готовьтесь удивлять наш экспертный совет своими навыками.
В ближайшее время напишем о новой механике кибербитвы и поделимся другими подробностями. Спойлер:
P.S. Скоро еще расскажем, что там со следующими Международными играми по кибербезопасности. Жди анонса!
Please open Telegram to view this post
VIEW IN TELEGRAM
Больше багхантеров в команде — больше 🍋 в кармане
Например, взгляни на багхантеров remembernamer & mimicate и AlexShev & act1on3, а также FedyaSyel с командой, которые, работая вместе, реализовали 3 недопустимых события в программах кибериспытаний. Они навыжимали на 3 млн рублей!
💡 Кстати, 6 программ уже в архиве, но чтобы было не скучно — добавили сегодня ещё 14 новых! Теперь для тебя доступно 48 программ, на которые ты можешь наброситься в одиночку, а можешь взять подмогу и багхантить вместе с товарищами.
Платформа Standoff Bug Bounty ждёт тебя. Все получится.🔥
Например, взгляни на багхантеров remembernamer & mimicate и AlexShev & act1on3, а также FedyaSyel с командой, которые, работая вместе, реализовали 3 недопустимых события в программах кибериспытаний. Они навыжимали на 3 млн рублей!
Платформа Standoff Bug Bounty ждёт тебя. Все получится.
Please open Telegram to view this post
VIEW IN TELEGRAM
С Днем святого Валентина, любимые слоняры! 💌
Сегодня уязвимости снова ждут, что вы их заметите. 🫶
Они шлют вам валентинки, признаются в своих слабостях и надеются, что вы будете нежны… но беспощадны.
❤️ Любите баги и уязвимости, но отвечайте им отказом.
Сегодня уязвимости снова ждут, что вы их заметите. 🫶
Они шлют вам валентинки, признаются в своих слабостях и надеются, что вы будете нежны… но беспощадны.
❤️ Любите баги и уязвимости, но отвечайте им отказом.
Если бы закрытие недопустимых событий было олимпийским видом спорта, у вас уже было бы золото
Мы подозреваем, что багхантеры не спят, не едят и работают в режиме 24/7, потому что меньше чем за сутки после нашего поста вы закрыли еще 6 НС. Теперь у нас 12 закрытых программ, а значит:
🍋 12 млн уже отправлены победителям.
💸 47 млн все еще ждут тех, кто их заберет.
Похоже, если мы будем анонсировать новые программы чаще, кто-то из вас купит себе остров. 🏝
🔥 Кстати, некоторые программы чувствуют себя одиноко и ждут, когда их поломают на них обратят внимание:
• Международная академическая клиника
• Integrity Group
• WhateverShop
• CyberED
• Федеральный исследовательский центр «Казанский научный центр Российской академии наук»
Продолжайте в том же духе, но не забывайте отдыхать (ну хотя бы пару часов). 😏
Полный список программ, которые ждут твоих крутых отчетов, смотри в комментариях⤵️
Мы подозреваем, что багхантеры не спят, не едят и работают в режиме 24/7, потому что меньше чем за сутки после нашего поста вы закрыли еще 6 НС. Теперь у нас 12 закрытых программ, а значит:
🍋 12 млн уже отправлены победителям.
💸 47 млн все еще ждут тех, кто их заберет.
Похоже, если мы будем анонсировать новые программы чаще, кто-то из вас купит себе остров. 🏝
• Международная академическая клиника
• Integrity Group
• WhateverShop
• CyberED
• Федеральный исследовательский центр «Казанский научный центр Российской академии наук»
Продолжайте в том же духе, но не забывайте отдыхать (ну хотя бы пару часов). 😏
Полный список программ, которые ждут твоих крутых отчетов, смотри в комментариях
Please open Telegram to view this post
VIEW IN TELEGRAM
Сотни, а может, даже тысячи багхантеров соберутся 27 февраля на VK Security Confab #3 😎
Среди них будет легенда багхантинга — Юрий Ряднина aka circuit. Он и тебя приглашает присоединиться к митапу, который пройдет офлайн в Москве (никаких трансляций и записей не будет, так что эксклюзивчик).
🗒 В программе:
• Планы VK на багбаунти в 2025 году.
• Разбор триажа изнутри.
• Лайфхаки от SavAnna о том, как уменьшить количество дубликатов(бесят же?) .
• Реальные кейсы от zerodivisi0n, приводящие к удаленному исполнению кода.
• Дисклоузы крутых уязвимостей VK от circuit.
А после — афтепати✌️
Начнется все в 19:00, чтобы попасть, нужно зарегистрироваться.
Среди них будет легенда багхантинга — Юрий Ряднина aka circuit. Он и тебя приглашает присоединиться к митапу, который пройдет офлайн в Москве (никаких трансляций и записей не будет, так что эксклюзивчик).
• Планы VK на багбаунти в 2025 году.
• Разбор триажа изнутри.
• Лайфхаки от SavAnna о том, как уменьшить количество дубликатов
• Реальные кейсы от zerodivisi0n, приводящие к удаленному исполнению кода.
• Дисклоузы крутых уязвимостей VK от circuit.
А после — афтепати
Начнется все в 19:00, чтобы попасть, нужно зарегистрироваться.
Please open Telegram to view this post
VIEW IN TELEGRAM
У нас появился новый хост на онлайн-полигоне Standoff в сегменте Standalone
🔥 И это не просто новый скучный хост: у него есть свое название и уникальная легенда. А у тебя есть возможность реализовать критическое событие и заработать баллы!
STANDOFF TECH CONGRESS — закрытая секретная конференция, где обсуждают ключевые национальные вопросы государства F, его безопасность, политические и экономические тайны. Пропуска? Да, их выдают только избранным. Но разве это остановит тебя?
Твоявыполнимая миссия:
🆔 Подделать пропуск для сотрудника Smart Fleet Logistics.
🖨 Создать и распечатать бейдж на имя Standoff Xakep.
🏆 Если все сделано правильно, то на пропуске появится флаг — сдай его и получи баллы за реализацию критического события.
Хост:
Если ты не VIP — сделай из себя его сам.👑
Благодарим команду 5HM3L, которая помогла разработать такой крутой хост в рамках хакатона Standoff 365. А если и вам хочется поучаствовать в развитии Standalone — пишите @k4riN44.
STANDOFF TECH CONGRESS — закрытая секретная конференция, где обсуждают ключевые национальные вопросы государства F, его безопасность, политические и экономические тайны. Пропуска? Да, их выдают только избранным. Но разве это остановит тебя?
Твоя
🆔 Подделать пропуск для сотрудника Smart Fleet Logistics.
🖨 Создать и распечатать бейдж на имя Standoff Xakep.
🏆 Если все сделано правильно, то на пропуске появится флаг — сдай его и получи баллы за реализацию критического события.
Хост:
techcongress.standalone.stf Если ты не VIP — сделай из себя его сам.
Благодарим команду 5HM3L, которая помогла разработать такой крутой хост в рамках хакатона Standoff 365. А если и вам хочется поучаствовать в развитии Standalone — пишите @k4riN44.
Please open Telegram to view this post
VIEW IN TELEGRAM
Весна все ближе, а программ кибериспытаний — все больше
☀️ Не скучаете? И не будете! Да-да, представляем вашему вниманию 4 новые программы, которые уже ну очень хотят ваших отчетов как и мы.
Вот они:
• «Лемма»
• АБП2Б
• Seowork
• «Робот Карл»
☺️ Кстати, всего активных программ сейчас на Standoff 365 — 52. Так, к слову. А «Лемма» уже успела получить несколько хороших отчетов.
Ломай их, пока за окном все еще холодно, а дома, вместе со Standoff 365, уютно.🌸
P.S. Пока мы писали этот пост, вы закрыли еще 1 недопустимое событие. А это значит, что вас ждут еще 52 млн рублей. 😉
Вот они:
• «Лемма»
• АБП2Б
• Seowork
• «Робот Карл»
Ломай их, пока за окном все еще холодно, а дома, вместе со Standoff 365, уютно.
P.S. Пока мы писали этот пост, вы закрыли еще 1 недопустимое событие. А это значит, что вас ждут еще 52 млн рублей. 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
Standoff 15: официальный канал коммуникации открыт
⭐️ Standoff 15 приближается, а это значит, что пора подключиться к официальному каналу коммуникации и быть в курсе всех дел.
🔊 Что будет в канале?
🔹 Все важные анонсы о битве.
🔹 Прямой контакт с организаторами: вопросы и ответы, технические моменты.
🔹 Общение с участниками: ищите тиммейтов, делитесь тактиками, обсуждайте стратегии.
👾 Присоединяйтесь к каналу сейчас, чтобы не пропустить ничего важного! 👾
🔊 Что будет в канале?
🔹 Все важные анонсы о битве.
🔹 Прямой контакт с организаторами: вопросы и ответы, технические моменты.
🔹 Общение с участниками: ищите тиммейтов, делитесь тактиками, обсуждайте стратегии.
👾 Присоединяйтесь к каналу сейчас, чтобы не пропустить ничего важного! 👾
Please open Telegram to view this post
VIEW IN TELEGRAM
Этим солнечным днем подвезли вам новые программы кибериспытаний
☀️ Чтобы вам было чем заняться, пока весеннее солнце делает приятнее на душе и радует глаз.
А если за окном все еще надоевшая зима, то дождаться тепла будет проще вместе со Standoff Bug Bounty.🌸
Теперь на платформе активно 57 программ!
Встречайте новичков⤵️
• СберКорус
• PenaQuiz
• Русдверь
• AdSensor
• Турбоцентр
А в комментариях мы дадим список программ, которым все еще не хватает хороших отчетов. Они вас ждут!⤵️
А если за окном все еще надоевшая зима, то дождаться тепла будет проще вместе со Standoff Bug Bounty.
Теперь на платформе активно 57 программ!
Встречайте новичков
• СберКорус
• PenaQuiz
• Русдверь
• AdSensor
• Турбоцентр
А в комментариях мы дадим список программ, которым все еще не хватает хороших отчетов. Они вас ждут!
Please open Telegram to view this post
VIEW IN TELEGRAM
Скоро будет не просто тепло, а по-настоящему горячо: встречай Международные игры по кибербезопасности!
А точнее — предстоящий сезон крупнейших независимых соревнований для старшеклассников, студентов и начинающих специалистов в сфере кибербезопасности.
⁉️ Когда?
С 10:00 24 апреля до 22:00 25 апреля (по МСК) — почти двое суток битвы без перерывов.
🔥 Что тебя ждет?
• Практика на реалистичных копиях инфраструктур.
• Возможность попробовать себя в роли атакующих или защитников.
• Общение и нетворкинг с единомышленниками.
Что ждет победителей весеннего сезона?
Атакующие: ТОП-2 команды примут участие в легендарной кибербитве Standoff 15 в мае этого года без отборочных.
Защитники: ТОП-2 команды посетят кибербитву Standoff 15 на PHDays Fest (им оплатят трансфер и проживание).
Как попасть в Игры?
Переходи по ссылке, читай подробности и оставляй командную заявку. Торопись, срок регистрации ограничен!
🔹 Мы подготовили не только хардкорные задания, но и комьюнити: тебя ждут знакомства с опытными участниками Standoff, поддержка на всех этапах и никаких требований по стажу в 50 лет.
Наши партнеры — CyberCamp от Инфосистемы Джет и CyberEd — также приготовили крутые испытания и замечательные призы!
Если ты старшеклассник, студент или начинающий специалист, который хочет проверить свои навыки на практике, — собирай команду и регистрируйся прямо сейчас!
Да начнутся Международные игры по кибербезопасности!🔥
А точнее — предстоящий сезон крупнейших независимых соревнований для старшеклассников, студентов и начинающих специалистов в сфере кибербезопасности.
С 10:00 24 апреля до 22:00 25 апреля (по МСК) — почти двое суток битвы без перерывов.
• Практика на реалистичных копиях инфраструктур.
• Возможность попробовать себя в роли атакующих или защитников.
• Общение и нетворкинг с единомышленниками.
Что ждет победителей весеннего сезона?
Атакующие: ТОП-2 команды примут участие в легендарной кибербитве Standoff 15 в мае этого года без отборочных.
Защитники: ТОП-2 команды посетят кибербитву Standoff 15 на PHDays Fest (им оплатят трансфер и проживание).
Как попасть в Игры?
Переходи по ссылке, читай подробности и оставляй командную заявку. Торопись, срок регистрации ограничен!
🔹 Мы подготовили не только хардкорные задания, но и комьюнити: тебя ждут знакомства с опытными участниками Standoff, поддержка на всех этапах и никаких требований по стажу в 50 лет.
Наши партнеры — CyberCamp от Инфосистемы Джет и CyberEd — также приготовили крутые испытания и замечательные призы!
Если ты старшеклассник, студент или начинающий специалист, который хочет проверить свои навыки на практике, — собирай команду и регистрируйся прямо сейчас!
Да начнутся Международные игры по кибербезопасности!
Please open Telegram to view this post
VIEW IN TELEGRAM