Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере», отчёты закрываются как «дубликаты» без доказательств, а правила меняются постфактум. Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера — нет прав.

https://habr.com/ru/articles/960024/

#bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж #фз152 #персональные_данные #национальный_мессенджер #багхантинг

Киберполигон STF Bank. Атакуем СБП по-настоящему: вендорское ПО, реальные уязвимости и ваша красная кнопка

Как выглядит реалистичная банковская среда для тренировок по кибербезопасности? На полигоне Standoff мы развернули инфраструктуру с платежным хабом и адаптером для подключения к системе быстрых платежей, которые были предоставлены компанией eKassir. Участники отрабатывают реализацию критических событий — от кражи базы платежей до подмены плательщика — с настоящим банковским ПО. В статье мы детально разберем архитектуру киберполигона и реальные уязвимости, заложенные в систему. Расскажем об устройстве STF Bank, о том, как мы воспроизводим банковскую среду с использованием реального вендорского программного обеспечения. Основное внимание мы уделим интеграции с системой быстрых платежей и моделированию критических событий.

https://habr.com/ru/companies/pt/articles/955958/

#standoff #standoff_365 #ekassir #банковское_по #багхантинг #киберполигон #сбп #нспк

Разбор атаки на PassOffice: мой пропуск в базу данных

Привет, Хабр! На связи @mirez , в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных на киберучениях Standoff Standalone . Нашей целью была система управления гостями PassOffice, которую используют в бизнес-центрах. Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода. Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

https://habr.com/ru/companies/pt/articles/950718/

#passoffice #ctf #standoff_365 #standoff_bug_bounty #багхантинг #киберполигон #sql #rb #кибератаки #flask

Реальные атаки, виртуальный полигон: Standoff Defend — новый продукт для blue team

Всем привет! Я Полина Спиридонова, product owner двух продуктов для подготовки специалистов по защите информации — Standoff Cyberbones и Standoff Defend. В статье я расскажу, как мы прошли путь от формулирования идеи из вопроса «Как создать полигон для синих команд?» до запуска Standoff Defend — инструмента, который помогает командам SOC становиться сильнее. Давайте погрузимся в детали и узнаем, как все начиналось и к чему мы пришли.

https://habr.com/ru/companies/pt/articles/941404/

#онлайнполигон #standoff #standoff_defend #standoff_365 #standoff_365_bug_bounty #багхантинг #cybersecurity #багбаунти #security_operation_center #blue_team

Мультивселенная киберполигонов в РФ: часть 3. Интервью со специалистами платформы Standoff 365

Привет, Хабр! Рассказ о мультивселенной киберполигонов в РФ точно не мог обойтись без этого полигона. Я уже говорил в одном из материалов, что это был первый киберполигон, с которым я познакомился. Ну и было бы странно не рассказать об этой кибербез‑площадке. Первые две части читайте тут и тут. Итак, встречайте мой разговор со специалистами платформы Standoff 365 компании Positive Technologies: техническим директором Олегом Ивановым, директором по продуктам платформы Иваном Булавиным, руководителем группы автоматизации платформы Вячеславом Валенко. Мы поговорили о мультивендорности и моновендорности киберполигона, какие решения интегрируются в киберполигон в 2025 году, какие запросы у заказчиков к киберплощадкам и не только. Приятного чтения!

https://habr.com/ru/articles/941328/

#standoff_365 #positive technologies #киберполигон

От подбора пароля к WiFi до пентеста серверов Apple: разговор с топовыми багхантерами из Synack и HackerOne

Привет! На связи команда Standoff Bug Bounty. Недавно мы провели откровенный разговор с топовыми багхантерами — теми, кто превратил поиск уязвимостей в профессию. Они рассказали, как начинали свой путь, поделились личными историями и профессиональными секретами. В этой статье вас ждет рассказ иностранных исследователей о самых запоминающихся репортах в их практике, уязвимостях, которые всегда в топе у исследователей, must-have инструментах для поиска багов и о роли ИИ в багхантинге. Читать

https://habr.com/ru/companies/pt/articles/914018/

#интервью #багхантеры #standoff_365 #standoff_bug_bounty #багбаунти #ssrf #xss #burp_suite #брутфорс #парольная_защита

Архитектура приложения. Разбиваем приложение Ansible на модули (Inventory, Deployer)

Привет, Хабр! Продолжу серию третьей статьей об эффективном использовании Ansible для развертывания больших инфраструктур в компаниях. В этом тексте я расскажу, какую архитектуру приложения на основе Ansible мы сформировали, и остановлюсь на модулях Deployer и Inventory.

https://habr.com/ru/companies/pt/articles/896652/

#ansible #ansible_inventory #standoff_365 #standoff #positive_technologies #цифровые_двойники #инфраструктура #инфраструктура_как_код

Конфигуратор. Связываем хосты в единую инфраструктуру, используя функциональность Ansible inventory

Привет, Хабр! Продолжу серию статей об эффективном использовании Ansible для развертывания больших инфраструктур компаний. В этот раз расскажу, как мы конфигурируем установку отдельных развертываемых хостов и их сервисов, а также как связываются сервисы между собой.

https://habr.com/ru/companies/pt/articles/884526/

#инфраструктура #ansible #standoff #цифровые_двойники #инфраструктура_как_код #ansible_inventory #standoff_365 #yaml #gitlab #конфигурация_сервера

В погоне за багами: на кого охотились и как зарабатывали белые хакеры

В мае 2022 года мы запустили собственную платформу для поиска уязвимостей за вознаграждение — Standoff Bug Bounty. С тех пор она стала крупнейшей российской площадкой багбаунти: более 18 тысяч независимых исследователей безопасности из России и других стран сдали на ней свыше 8 тысяч отчетов. Привлекая на помощь целый легион опытных багхантеров, платформа помогает компаниям усилить защищенность ИТ-инфраструктуры. Читайте в этой статье о результатах 2,5 лет работы Standoff Bug Bounty. Объясним, почему багбаунти-платформа повышает киберустойчивость компаний, какие баги чаще всего находят специалисты ИБ, как они зарабатывают и какие выплаты получают. Расскажем также о максимальных наградах и уникальных программах на платформе.

https://habr.com/ru/companies/pt/articles/879522/

#standoff_365 #багбаунти #белые_хакеры #вознаграждение #минцифры #rambler #vk #ozon #wildberries #эксплуатация_уязвимостей

Standoff-онбординг: собираем команду, создаем баг-репорт и готовимся к соревнованиям

Всем привет! Это заключительный материал из нашего импровизированного цикла «Standoff-онбординг». В первой статье мы разобрали, как реализовывать фишинг и ломать внешний периметр, а во второй — взламывали внутренний периметр и АСУ ТП, а также говорили про дополнительные полезные источники и матрицу MITRE ATT&CK. Напоследок мы решили подготовить вам подробный рассказ о том, как правильно взаимодействовать с порталом Standoff 365 и как попасть на соревнования, а также составили инструкцию по написанию баг-репорта и очень полезный чек-лист для подготовки к кибербитве. Подробности под катом, а с вами как всегда Антипина Александра ( N3m351d4 ) — капитан команды Cult 😊 Готовимся к соревнованиям!

https://habr.com/ru/companies/pt/articles/852654/

#standoff #standoff_365 #пентест #cybersecurity #гайд #багбаунти #байпас #багрепорт #туториал #чеклист

Как хакеры ломают облачную инфраструктуру хостинг-провайдера: кейс Standoff

В марте мы рассказывали , как хакеры ломают банки (за 48 часов!) и какие ИБ-продукты их защищают. Standoff 13 принес нам новые кейсы. Начнем с разбора взлома облачной инфраструктуры хостинг-провайдера Nodenest, который работал в вымышленном Государстве F. Вас ждет история о том, как продукт для защиты контейнерных сред PT Container Security (PT CS) поймал крайне интересный kill chain на уровне рантайма. Погнали!

https://habr.com/ru/companies/pt/articles/835098/

#k8s #взломы #провайдеры #mitreatt&ck #детектирование #cloud_native #clouds #ebpf #контейнеризация #standoff_365

Как это было: R-Vision на Positive Hack Days Fest 2

Привет, Хабр! На связи команда R-Vision. Мы традиционно выступили партнером фестиваля PHDays, который прошел в Лужниках с 23 по 26 мая. Наши коллеги активно делились экспертизой — 5 докладов, большинство из которых посвящены технологии SIEM, вызвали живой интерес у аудитории.

https://habr.com/ru/companies/rvision/articles/818637/

#PHD2024 #phd #standoff #standoff_365 #standoff_365_bug_bounty #кибербезопасность #мероприятия #конференция #phdays

Standoff 365. Самое красивое недопустимое событие в деталях

Привет, Хабр. Меня зовут Виктор, я работаю в компании «Инфосистемы Джет» пентестером и активно играю на киберполигоне Standoff 365 под ником VeeZy. Сегодня я хочу поделиться с тобой, на мой взгляд, самым красивым критическим событием, которое есть на платформе! Инцидент, который мы реализуем, называется «Оплата товаров по QR-кодам за счет украденных средств», и за него можно получить 7500 баллов. Взлом новостного портала, путешествие в страну Kubernetes, кража денежных средств с клиентских счетов, и это далеко не всё! Разумеется, это всё в рамках закона и служит исключительно в образовательных целях! Устраивайся поудобней, а мы начинаем.

https://habr.com/ru/companies/jetinfosystems/articles/795247/

#positive technologies #pentest #пентест #cybersecurity #standoff_365