Осень 2024: Bug Bounty от выбора вендора до первого хая, Всеволод Кокорин
Доклад с большой сходки SPbCTF в офисе Яндекса
Сева рассказал доклад Саши Миронова о том, как он подходил к поиску багов на баг-баунти: по каким критериям выбирал вендора, как нашёл неочевидную XSSку через client-side redirect, и как повышал её критичность (и размер выплаты) до высокой.
Презентация →
0:00 Выбор вендора
8:43 Клиент-сайд редирект в логине
13:53 Вайпасс WAFа
18:43 Докрутка до захвата аккаунта
28:02 Вопросы
1 year ago 00:25:47 804.3K
2 months ago 00:48:32 3.5K
1 year ago 00:28:20 899.9K
2 months ago 01:16:15 1.9K
2 months ago 00:23:39 16.1K
1 year ago 00:01:55 5.3K
2 months ago 01:09:57 745
1 month ago 00:20:03 567
1 month ago 00:15:05 1.4K
1 year ago 00:22:48 761.8K
5 months ago 00:03:20 443
3 months ago 00:00:09 8.1K
2 months ago 00:00:33 2.1K
1 month ago 00:01:27 460
4 weeks ago 00:25:50 4.2K
1 year ago 00:22:57 784.3K
2 months ago 00:24:29 6.9K
1 month ago 00:03:09 544
1 month ago 01:05:42 49
2 months ago 00:37:16 7.1K
2 months ago 00:37:46 239
1 month ago 00:52:32 935
9 months ago 00:14:43 102
10 months ago 01:10:23 3K
