2️⃣ Сколько багов ты сумеешь найти за два месяца в новой программе на Standoff Bug Bounty?

Что за программа? ATI.SU предлагает баунти до 250 000 ₽ за уязвимости, найденные в своих системах. Стартуем прямо сейчас, заканчиваем 12 октября.

ATI.SU — не просто транспортная биржа, а одна из крупнейших в России и СНГ цифровых экосистем сервисов для транспортной логистики. В ней заказчики и перевозчики могут размещать и искать заказы, проверять контрагентов, страховать и контролировать процесс перевозки, обмениваться документами и анализировать проделанную работу.

Широкая функциональность — широкий скоуп:

• ati.su,
• job.ati.su,
• trace.ati.su,
• userdata.ati.su,
• billing.ati.su,
• api.ati.su,
• help.ati.su,
• tm.ati.su,
• id.ati.su,
• d.ati.su,
• tenders.ati.su,
• trucks.ati.su,
• r1.ati.su,
• files.ati.su,
• loads.ati.su,
• faq.ati.su,
• about.ati.su,
• news.ati.su,
• adv.ati.su,
• chat.ati.su,
• academy.ati.su,
• zen.ati.su,
• а также приложение «АТИ Грузы и Транспорт» версии 221 (2.17.0) и выше для iOS и Android.

Ну что, ты в деле? Тогда поехали. Все условия — по ссылке.

🏆 Багхантеры Standoff Bug Bounty взяли первые золото и бронзу на Bounty pass #2: Olymp

🥇 kedr и 🥉 BlackFan вошли в топ-3 олимпийцев VK, заняв первое и третье места по итогам первых трех недель соревнования.

Удастся ли им так же успешно обходить соперников до конца сезона в октябре — загадка, поэтому будем периодически делиться новостями. Можно следить за обновлениями рейтинга и самостоятельно по ссылке.

Напомним, что олимпийцы-победители получат уникальные наборы мерча, а двое лучших (тот, кто набагхантит больше других, и тот, кто сдаст максимальное количество отчетов) — +10% ко всем выплатам по багбаунти-программам VK на целый год.

👉 Еще не поздно присоединиться к соревнованиям и занять верхние ступени пьедестала: bugbounty.standoff365.com/vendors/vk/

🪙 Нужно больше золота багхантеров — помогай!

Если идешь на «ИТ-пикник» в эту субботу, приводи на стенд Positive Technologies друга, который всегда хотел попробовать искать баги, но до сих пор не решался.

План простой:

1️⃣Он (или она) находит свою первую уязвимость на специальном багбаунти-стенде Standoff для новичков (самостоятельно или с твоей помощью).

2️⃣ Вдохновляется и втягивается в багхантинг, вооружившись нашими полезными советами для начинающих.

Тебе — удовольствие, другу — радость, комьюнити — польза.

Ты в деле? Регистрация на пикник пока открыта. Встречаемся в «Коломенском»!

🏦 2022 год: на кибербитве Standoff появилась банковская отрасль, состоящая из двух коммерческих банков и одного центрального.

💳 2023 год: добавились система быстрых платежей с возможностью оплаты по QR-кодам и третий коммерческий банк.

😈 Тот же 2023 год: отрасль стала доступна на онлайн-полигоне Standoff.

А уже в этом году все 24 критических события, которые заложены в банковском сегменте полигона (они взяты из реальной жизни), реализованы исследователями безопасности 😮

Как мы создавали и развивали банковскую отрасль, как она обновляется, а также как можно исследовать атаки красных в режиме 24/7 — специально для миллиардеров из Forbes рассказала Елена Молчанова, бизнес-лидер онлайн-полигона Standoff.

Если вы тоже чувствуете себя миллиардером — читайте материал на сайте издания.

🎶 В природе существуют плейлисты для бега, вечеринок, игры в контру и даже для решения задач по вышке…

А такого, чтобы под него круто было ломать онлайн-полигон или багхантить, мы не нашли и решили это исправить.

VeeZy предложил добавить в него музыку из мультсериала «Киберпанк», сircuit докинул композицию от Enjoykin, а SavAnna посоветовала сразу два альбома саундтреков из игры Enderal: первый и второй.

А ты под что любишь ломать? Делись годными треками в комментах.

🐱 Сколько начинающих багхантеров нужно, чтобы найти один баг?

Сходили на стенд Standoff для новичков на «ИТ-пикнике» и опытным путём выяснили, что от одного до пяти.

Ребят, гордимся вами, что вы все это делаете в одиночку!

Хочешь проверить, как справишься? Приходи на позитивный стенд. Ты узнаешь его из тысячи по огромной надувной фигуре разраба.

⚔️ Красные команды vs. PT Container Security (PT CS)

Каждая наша кибербитва — это не только сражение красных и синих команд, но и челлендж для продуктов Positive Technologies, которые помогают защитникам расследовать и отражать атаки.

В этот раз счет 1:1. На Standoff 13 красная команда (кстати, напишите в комментах, если это были вы!) смогла взломать облачную инфраструктуру хостинг-провайдера Nodenest в виртуальном Государстве F, а продукт для защиты контейнерных сред PT CS пофиксил kill chain на уровне рантайма.

🕙 У нас и пруфы есть — в новой статье на Хабре. Можно проверить: время в отчетах атакующих и в PT CS совпадает. Да и вообще интересно взглянуть на процесс с обеих сторон — глазами тех, кто ломает, и тех, кто фиксирует каждое их действие.

👉 Ищите все подробности в нашем блоге.

Устал от дублей? Ищешь, но не находишь криты? Не успеваешь тратить баунти?

🫂 Да, порой быть багхантером непросто. Но мы готовы тебя выслушать и подержать за ручку поддержать.

Приходи в SECRET ROOM от Standoff Bug Bounty на стенде Positive Technologies, который ты легко найдешь среди остальных на конфе OFFZONE 22–23 августа.

Поори Выговорись, а на выходе не забудь получить свой уникальный код. Оба дня в 17:00 мы будем разыгрывать по три специальных приза — хак-завтрака с @c0rv4x.

Так что, будешь на конфе, заглядывай обязательно.

📺 Нашего @c0rv4x и тут, и там передают

Ты уже был в нашей SECRET ROOM на OFFZONE 2024? Если нет — рекомендуем, если да — не забудь подойти на стенд к 17:00, чтобы успеть к сегодняшнему розыгрышу призов хак-завтрака угадай, с кем.

🤔 Думаешь, что багхантить — это сложно? Не знаешь, как начать? Ждешь знака, в конце концов?

Считай, что это он. Попросили ребят из комьюнити Standoff Bug Bounty вспомнить, как они сами начинали багхантить, и дать новичкам пару полезных советов.

📢 Если коротко: не бойся, не рассчитывай, что сразу начнешь зарабатывать бешеные деньги, репорть все, что репортится, а главное — получай фан от поиска уязвимостей.

Больше подробностей — в видео и пошаговой инструкции на Bug Bounty: Getting Started.

Прием заявок на хакатон hackнутых сервисов скоро закончится 🚘

Если тебе кажется, что собрать уязвимую тачку сложно, вот тебе 4 простых совета 👆

🚩 Зайди на онлайн-полигон Standoff и попробуй хакнуть уже готовый уязвимый сервис.

🚩 Изучи новые и актуальные уязвимости.

🚩 Рассмотри техники из матрицы MITRE ATT&CK, чтобы найти оригинальный вектор атаки.

🚩 Не стесняйся задать свои вопросы комьюнити Standoff.

Бонусом — пара примеров тачек с уязвимостью:

Пример 1. Веб-приложение службы курьерской доставки. Заложенная уязвимость позволяет завладеть чужими посылками путем подмены имен получателей.

Пример 2. Хост на Windows со службой Active Directory. Заложенная уязвимость позволяет получить несанкционированный доступ к ресурсам сети.

Стало проще и появились идеи? У тебя еще есть время подать заявку на участие — до 2 сентября.

💡 Авторы лучших сервисов разделят призовой фонд хакатона в 500 000 рублей. А еще получат сертификаты участников и уникальные ачивки на портале Standoff.

А какой ваш максимум без багбаунти? 🤔

Мы к вам с крутым анонсом: сегодня начинаются игры! 👾

А точнее — Международные игры по кибербезопасности: независимые соревнования для студентов и старшеклассников, изучающих кибербезопасность.

🔥 Ты сможешь получить опыт в ИБ, выполняя задания на реалистичных копиях разных инфраструктур, познакомиться с экспертами индустрии и принять участие в финале осеннего сезона Игр — студенческой кибербитве Standoff!

Чтобы принять участие в отборочных, подавай заявку на сайте до 16 сентября и выбери свою сторону: команду атакующих или защитников 🤛

Так как это игры, то веселье и общение тоже будут: познакомим тебя с опытными участниками Standoff, сделаем частью комьюнити и поможем пощупать работу без боли, смс и требований наличия стажа в 50 лет. По итогам кибербитвы ты сможешь попасть на одну из стажировок от лидеров индустрии и получить поддержку менторов.

🏆 А еще победители среди атакующих команд осеннего сезона смогут принять участие в кибербитве Standoff в 2025 году (без отборочных), а победители среди команд защитников — получить доступ на финал весеннего сезона Международных игр на PHDays Fest (с оплатой трансфера и проживания).

😎 Поэтому если ты студент, который уже хочет применить знания на практике, то собирай команду и записывайся на отборочные прямо здесь.

Да начнутся международные игры по кибербезопасности!