Web security audits & Pre bug bounty testing

Качественные, тщательные и анонимные web security аудиты.

Процесс тестирования

Описание процесса тестирования по типу Black-Box

ОБСУЖДЕНИЕ

Согласование условий сотрудничества и scope, который необходимо проверить, — *.ваш_сайт.com, только личный кабинет пользователя или просто ваш_сайт.com без wildcard. Также обсуждается способ оплаты, сроки выполнения работы, любые другие нюансы.

ПОДГОТОВКА

Сбор максимального количества информации о цели, поиск поддоменов в случае wildcard, проверка портов, тщательный фаззинг веб приложений, подготовка к тестированию.

ПОИСК & ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ

Проверка приложения на уязвимости в соответствии с OWASP top 10 и SANS top 25. «Escalation», эксплуатация или попытки сделать это (в случае неудачи будет описано в отчете).

АНАЛИЗ & СОЗДАНИЕ ОТЧЕТА

Создание отчёта со списком и описанием всех найденных уязвимостей. Если находка не являеться уязвимостью, но потенциально несет в себе угрозу или в будущем может превратиться в уязвимость, она тоже упоминаеться в отчёте. Классификация, присваивание уровня опасности, рекомендации по устранению багов. Способ получения отчёта и его оформление соответствует пожеланиям заказчика.

Последние blog посты

Статьи на тему информационной безопасности

Тестирование двухфакторной аутентификации и возможные варианты обхода

Еще до того, как я начал постигать сложную науку информационной безопасности, мне казалось, что 2FA аутентификация — это гарантированный способ защитить свой аккаунт и никакие «эти ваши хакеры» не смогут, скажем, увести[…]

Read more

Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000

Биткоин и криптовалюты в целом
у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum,курс на тот момент был по $1900 за btc и $89 за эфир.

Read more

[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph

Вот уже больше года я пользуюсь мессенджером Telegram: это удобно и, насколько мне казалось, полностью конфиденциально. Так как я исследователь безопасности web-приложений, то должен был проверить соответствующую версию приложения на уязвимости.

Read more

Свяжитесь со мной

Если у Вас есть вопросы, предложения, проблемы или Вы хотите сказать мне «Привет», просто используйте эту форму!