Архив метки: Standoff365

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty

Добавить комментарий

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty. zVirt - отечественная платформа серверной виртуализации от компании Orion soft.

Когда российский вендор выходит на багбаунти - это здорово. 🔥 А когда делится инфой по найденному и устранённому - это вдвойне здорово. 🔥🔥

В посте разбирают пять уязвимостей:

🔻 Blind SSRF с подменой хоста для бэкапов и IDOR
🔻 Open Redirect с угоном аккаунта
🔸 Reflected XSS на главной странице
🔸 Утечка данных о пользователях через API
🔸 Трейсбеки базы данных в ответах API

Для каждой описывают, в чём она заключалась и как была исправлена. 👍

У меня, как у VM-щика, конечно, возник вопрос: а где идентификаторы этих уязвимостей? 🤔 Хотя бы вендорские, но желательно CVE/BDU. Ведь это значительно упрощает ведение базы правил детектирования уязвимостей, их обнаружение и устранение в инфраструктуре.

К сожалению, идентификаторов пока нет. 🤷‍♂️ Но это дело наживное - главное, что уязвимости устраняются. 😉

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks

Добавить комментарий

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks. Это будет бесплатный митап с техническими докладами и неформальным нетворкингом для практикующих экспертов, энтузиастов и ̶х̶а̶к̶ оффенсив-специалистов. 😉 Проходить он будет с 14:00 до 23:00 в Пространстве ВЕСНА (это лофт у метро Красносельская/Бауманская).

До 26 сентября идёт Call For Papers. "Темы могут быть самыми разными: offensive и defensive security, исследования уязвимостей, багбаунти, кейсы из SOC, автоматизация и DevSecOps, AI и ML в ИБ, управление безопасностью и т.п." Я отдельно спрашивал про Vulnerability Management - тоже можно. 👍

Формат интересный, подумываю податься на CFP или сходить как слушатель. 🙂