Осень 2024: Bug Bounty от выбора вендора до первого хая, Всеволод Кокорин
Доклад с большой сходки SPbCTF в офисе Яндекса
Сева рассказал доклад Саши Миронова о том, как он подходил к поиску багов на баг-баунти: по каким критериям выбирал вендора, как нашёл неочевидную XSSку через client-side redirect, и как повышал её критичность (и размер выплаты) до высокой.
Презентация →
0:00 Выбор вендора
8:43 Клиент-сайд редирект в логине
13:53 Вайпасс WAFа
18:43 Докрутка до захвата аккаунта
28:02 Вопросы
2 months ago 00:09:02 4
3 months ago 00:16:35 1
3 months ago 00:01:18 12
3 months ago 03:18:22 3
3 months ago 00:03:28 1
3 months ago 02:40:04 192
3 months ago 00:20:45 1
3 months ago 01:03:43 1
4 months ago 00:37:01 1
4 months ago 00:25:55 1
4 months ago 00:35:24 77
4 months ago 00:03:48 1
5 months ago 00:01:02 1
6 months ago 00:06:07 1
6 months ago 02:16:53 14
6 months ago 00:15:44 1
6 months ago 00:05:05 1
6 months ago 00:03:59 3
6 months ago 00:19:01 1
6 months ago 04:46:01 1
6 months ago 00:12:03 1
6 months ago 00:02:57 3
6 months ago 00:03:38 1
6 months ago 00:04:10 1
