Осень 2024: Bug Bounty от выбора вендора до первого хая, Всеволод Кокорин
Доклад с большой сходки SPbCTF в офисе Яндекса
Сева рассказал доклад Саши Миронова о том, как он подходил к поиску багов на баг-баунти: по каким критериям выбирал вендора, как нашёл неочевидную XSSку через client-side redirect, и как повышал её критичность (и размер выплаты) до высокой.
Презентация →
0:00 Выбор вендора
8:43 Клиент-сайд редирект в логине
13:53 Вайпасс WAFа
18:43 Докрутка до захвата аккаунта
28:02 Вопросы
31 view
453
150
1 month ago 00:01:02 1
Fantastic Animal Fashion Show, Fairytale Story For You, the history of the show is fictitious