Не так потестил пентагон

ну в смысле из топа и вообще с h1. Гуиджибой. В твиттере пишет иногда. По его скринам он был на 9 месте в рейтинге h1 за все время
https://twitter.com/vis_hacker

Выиграл гринкарту в США

а что не так с хакерами?)

Вот щас пишу по этому поводу

товарищи пентестеры, кто нибудь подскажет инструментарий для поиска панелей входа в корп почту у домена?

Что-то отличное от скана портов, поиска поддоменов или директорий?

Меня тут спрашивают, почему ресёрчеры не профитаются от HackerOne. Объясню свою точку зрения.

Вся движуха с h1 зародилась, чтобы объединять вольных хакеров и компании для законного сотрудничества, от которого никто не пострадает. Ну, типа, раньше ты мог найти у кого-нибудь уязвимость, написать о ней и попросить вознаграждения, и быть:

1) Денежно вознаграждён;
2) Проигнорирован;
3) Наказан.

Тогда не было никаких гарантий и с тобой могли сделать что угодно, в зависимости от того, насколько ты везучий и сколько ущерба ты причинил. HackerOne создавали как площадку-гаранта, которая будет обеспечивать связь исследователей с компаниями и позволять профитаться и тем, и другим. И вот первое время это работало хорошо. А потом началась поеботня.

Поеботня началась, когда люди просекли, что так можно зарабатывать деньги, и ринулись в бб, думая, что "щас я вот этот сканер запущу и будет у меня куча бабок!" Понятное дело, что репортов от таких умников - 90%, и это мешает нормальной жизнедеятельности платформы.

Как следствие этого, возникает пропорционально большая нагрузка на триажеров и на сами компании. Они просто не успевают справляться с этим всем, и начинается то, что не любит никто из хантеров - дубликаты.

Понятное дело, что АТ&Т ловит просто тысячи репортов от индусов каждый месяц, и в каждом из этих репортов они всех грозятся поломать кликджекингом. Адекватных, воспроизводимых репортов - просто мизерное количество.

И ладно, если вы бы просто на голом энтузиазме написали кому-нибудь, что нашли у него уязвимость, а потом вас бы проигнорировали или сказали, что они в курсе об этой ошибке, вы бы могли сделать full disclosure, чтобы хотя бы как-нибудь пнуть компанию если не дать вам денег, то исправить эту уязвимость, пока её не эксплуатировал ещё кто-нибудь почернее, чем вы. Помните, были специальные рассылки с этим всем, даже писали про отдельные дырки на конкретных сайтах? В бб вы не можете так сделать. Вы тут можете полгода прождать, пока найденный вами баг не будет наконец рассмотрен и помечен дубликатом. Хотите привлечь внимание игнорирующей вас программы - ловите бан. Свободный рынок - не нравится, участвуйте в другой программе... в которой почти никто не участвует, потому что платит копейки.

Баг баунти выходят для компаний выгоднее классического редтиминга? Да, вполне... если этот же самый редтиминг убрать. Потому что, как сказали выше, он может сам по себе обходиться тысяч так в сто баксов в год, а баунти-программа - ну, тысяч в двадцать. Окей, допустим, редтимеры перестают атаковать  периметр и ходят ломать только внутри... ну и много денег от этого сохранится? Это всё равно больше трат принесёт в конечном итоге.

Плюс, баг баунти - только про безопасность периметра. Багхантерам нельзя ни в социальную инженерию, ни в фишинг, ни куда-нибудь ещё. Вот так потратите кучу денег на программу, а потом вас сломают, подкинув вам флешку или фишинговое письмо.

Говорите, что баг баунти улучшают безопасность конечных пользователей вашего софта? В целом, так и есть. Только, к сожалению, по отношению к атакующему вы находитесь в заведомо проигрышном положении: вам нужно залатать все дыры, а ему - найти только одну. Поможет ли вам ваша баг-баунти программа, находящая, ну, допустим, 10 RCE в год, когда вам скинут эксплойт против браузера или ядра операционной системы? Да, конечно. Ваш продукт и периметр атакован не будет - множество уязвимостей давно нашли багхантеры. Так что профессиональные и мотивированные атакующие целиться будут на те места, в которые багхантеры даже не лезут, потому что аааа блять ассемблер страшнааа нада больше чем кавычку ва ввод пихать!!!! И ничем ваши бб тут никому не помогут. Прошу заметить, что, будучи компанией, вы будете ещё и вынуждены платить за уязвимости, которые ну реально ни один настоящий киберпреступник не захочет эксплуатировать. К чему все эти IDOR'ы и отражённые XSS, когда можно на сайте скулю найти, которая была дубликатом у десятка индусов, и посливать с неё все данные? Вот так и получается, что вы заплатите за баги, которые к реальным атакам отношения вообще не будут иметь.

Так что, хотите нормальной безопасности - пожалуйста, нанимайте пентестеров, редтимеров, пусть они ищут уязвимости у вас в системах. Используйте проверенные временем решения и лучшие практики безопасности, принципы наименьших привилегий и всё такое. Любой самый охуенный багхантер обломается и уйдёт ни с чем, пытаясь эксплуатировать SSRF, которая не эксплуатируется из-за файрволлов и политик безопасности на бэкенде. Любой самый охуенный хакер с кучей зиродеев будет срать кирпичами, когда его эксплойт не сработает из-за того, что вы выключили все исходящие соединения к недоверенным ресурсам. Баунти - это лишняя головная боль, трата денег и самое хуёвое - вознаграждение людей за то, что они просто умные. Ну да, хорошие качества могут быть важными в профессиональной работе, да только где вы видели, чтобы кому-то давали денег просто за то, что он умеет кавычку во все поля запихивать? Ну да, он крут и заслуживает уважения. Но явно не того, чтобы ему деньги платить. Вот люди, которые настраивают файрволлы, системы, порой с нуля всё собирают, чтобы сократить до минимума площадь атаки, этого реально заслуживают, а также математики, врачи, биолог
и и многие другие. Вы хотите платить деньги индусам, которые ещё вчера доили корову в засранной своей деревне? Ну-ну)

Так что я считаю баг баунти полностью проёбанной идеей. На мой взгляд, единственная вещь, которая хуже бб - это не иметь никакой безопасности вообще. С помощью бб реальные уязвимости с потенциалом эксплуатации не фиксятся и вообще остаются незамеченными, сливаются впустую горы бабла и нервов хакеров, которые ловят дубликаты, а также заставляют молчать обладателей этих нервов, чтобы контора могла охуевать и держать непропатченной эти уязвимости сколько угодно. Да и в целом, бб - это скорее мода, чем что-то реально необходимое. Бб рекламируются сейчас абсолютно таким же образом, как годы назад рекламировали облачные вычисления и всякий краудсорс в целом. Даже Гугл обязывает часть разработчиков иметь баг баунти. Если в Гугл плее отменят это правило, большая часть всех программ просто улетучится)

Так что - либо у вас реальная безопасность, и вы платите за неё не только безопасникам, но и всему айти-отделу, либо вы платите деньги индусам, которые в деревне у своих коров молоко доят.

Вот

Обычно у домена в mx указан используемый провайдер корпоративной почты. Либо же с какого-нибудь mail.domain.com (поддомена для почты) редирект стоит на него.

А как саму страницу входа найти?

Ухты, csrf и фаерволы
Интересно

Потыкай там где-нибудь

Блин, я хотел SSRF написать) опечатался.

это прям девиз ББ :)

Надеюсь, а то я уже хотел потроллить)))

подпишусь под каждым словом.
Только вот относится к ББ программам на х1 багкроудах итд.

Другое дело - собственная ББ программа. Когда есть в штате кисо, девсек, аппсек. (для крупных компаний), которые будут следить за репортами.

Зато баг баунти хороши одним - ничего в жизни не имея, кроме везения, чтобы дублей не наловить, можно запросто на этом паразитировать и вообще о деньгах не думать.

- Витенька, девятнадцать годиков. Накопил себе на новый комп с баг баунти)

Вкратце: ББ неприбыльно, получайте сертификаты и устраивайтесь в компании

Ну ты тоже, брат, выдумщик. Сколько ты часов потратил, чтобы первый чек на лям получить?)