• XSS.stack #1 – первый литературный журнал от юзеров форума

Мануал/Книга [DEF CON 32] Hacking Corporate Banking for Fun and Profit

Отслеживать
weaver

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3
Забанен
Регистрация
19.12.2018
Сообщения
3 301
Решения
11
Реакции
4 622
Депозит
0.0001
Пожалуйста, обратите внимание, что пользователь заблокирован
Description
I conducted thorough research on a corporate banking software widely utilized by numerous banks globally. This research was conducted during a bug bounty program for a leading bank in middle east, which employs this software. By examining their marketing brochures, we identified the third party company responsible for its development and after looking at their client we found out, their software is utilized by 60-70% of banks worldwide.


In this talk i will explain how did i recon corporate banking application from extracting interesting endpoints and methods. Further used them to find attack surface. Furthermore, I will delve into the methods used to uncover critical vulnerabilities within their application, including SQL injections, bypassing access control mechanisms etc.
https://info.defcon.org/event/?id=56261

slides
тык
 
Очередное "я начал 20 тыщ лет назад и выехал за счет прошлых достижений".
Попробуйте сейчас вкатиться в бб, особенно в русское. Если ты не веб-разраб-аппсекер-редтим-тимлид у которого буквально есть время по нескольку часов в день свободного, то возможно что то и накравлишь.
У кого есть работа, семья и тд там делать просто нечего.
 
Последнее редактирование:
noonenowhere000 сказал(а):
Очередное "я начал 20 тыщ лет назад и выехал за счет прошлых достижений".
Попробуйте сейчас вкатиться в бб, особенно в русское. Если ты не веб-разраб-аппсекер-редтим-тимлид у которого буквально есть время по нескольку часов в день свободного, то возможно что то и накравлишь.
У кого есть работа, семья и тд там делать просто нечего.
а что не так? ты надеешься вкатиться в бб после двухнедельных курсов гикбрейнс?
чтобы что-то сломать, ты должен хорошо понимать, как оно работает, то есть уметь и в веб, и в кодинг, и в аппсек, и в редтим, а иногда и в тимлид.
 
Dread Pirate Roberts сказал(а):
а что не так? ты надеешься вкатиться в бб после двухнедельных курсов гикбрейнс?
чтобы что-то сломать, ты должен хорошо понимать, как оно работает, то есть уметь и в веб, и в кодинг, и в аппсек, и в редтим, а иногда и в тимлид.
Не совсем об этом. Условно, бб слишком ограничен. И вендор, зачастую, использует его исходя из побуждений:
1) Выйти для галочки
2) Не платить пентестерам (т.к. суммы разнятся в разы)
3) Выгнать на скоуп 2.5 адреса, т.к. галочка "мы вышли на баг баунти" уже есть. На скоупе обычно пусто т.к. ноль функционала.
Шаг влево - шаг вправо -- конец твоим делам.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
noonenowhere000 сказал(а):
Не совсем об этом. Условно, бб слишком ограничен.
Ты про то что кликджакинг не принимают? А ты сделай так, чтобы приняли ! Накидай им пуху, что очень опасная уязвимость. У тебя очень странное рассуждение. О каких таким вендорам ты говоришь. Вендор это же производитель какого либо там ПО\Продукта. Тут же баг-баунти расматривает в контексте веб-приложений\сайтов их называть вендорами у меня язык бы не повернулся. Сайт компании не может быть продуктом это конечная точка. Paypal это не вендор, банк тоже не вендор. Google это вендор, потому он делает продукты и ПО которые можно установить у себя, в РФ разве что будет Астра Линукс. И как ты там выразился... То что там "вендор" использует тебя волновать не должно. Почему спросишь ты. Да потому, что твоя задача найти крит и получить бабки всё. И не надо заморачивать себе голову, что они там делают для чего и почему.

https://bugbounty.standoff365.com/
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Деградация прям на глазах. Один академию не может осилить и говорит, что веберов мало, другой на время жалуется, вот вы хотябы попробуйте для начала, а потом пишите.

Скажу так за время. Вот вы когда на работу ходите вы там целый день, ведь так? Тут так же целый день. И тут собственно вопрос, какая жена и дети могут быть на работе. На работе надо работать. Вот когда отработаешь целый день можешь заниматься женой и детьми. Это первое, а второе. Вот зарплата обычно когда, она в конце месяца, а вы хотите чтобы сразу так тоже не прокатит. Конечно вам может повезти что вы сразу найдете баг и его зарепортите и это не будет дубликат и вы получили свою заветную баунти, но всё же.... Если вы сходу не нашли баг, это не значит что нужно менять цель. Надо исследовать пробовать. Нормальные баг-хантеры 50к в месяц подымают на вебе стабильно. А вы тут демагогию какую-то развели.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх