Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Как пентестер упустил $3750 вознаграждения

1 мин
История о том, как пентестер упустил вознаграждение в $3750 из-за простой ошибки в настройках HTTP, стала вирусной в сообществе специалистов по кибербезопасности. Этот случай доказывает, что даже опытные хакеры могут ошибаться, и внимательность — ключевой фактор успеха в этой области по обе стороны баррикад. Эксперт компании «Газинформсервис» Александр Катасонов, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности (ЛРиПКК), отмечает — этот случай наглядно демонстрирует, как легко упустить критическую уязвимость, сосредоточившись на сложных сценариях атаки. «Подобные случаи показывают, что даже самые мелкие элементы безопасности могут стать той самой уязвимой точкой, о которой никто бы не подумал. Как сказал автор, это и отличает профессионального пентестера от любителя. То же самое работает и со стороны защитников: именно внимательные педанты обеспечивают наибольшую защищенность своей инфраструктуры. Ошибки, связанные с неправильными настройками, могут при

История о том, как пентестер упустил вознаграждение в $3750 из-за простой ошибки в настройках HTTP, стала вирусной в сообществе специалистов по кибербезопасности. Этот случай доказывает, что даже опытные хакеры могут ошибаться, и внимательность — ключевой фактор успеха в этой области по обе стороны баррикад.

Эксперт компании «Газинформсервис» Александр Катасонов, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности (ЛРиПКК), отмечает — этот случай наглядно демонстрирует, как легко упустить критическую уязвимость, сосредоточившись на сложных сценариях атаки.

«Подобные случаи показывают, что даже самые мелкие элементы безопасности могут стать той самой уязвимой точкой, о которой никто бы не подумал. Как сказал автор, это и отличает профессионального пентестера от любителя. То же самое работает и со стороны защитников: именно внимательные педанты обеспечивают наибольшую защищенность своей инфраструктуры. Ошибки, связанные с неправильными настройками, могут привести к потере не только времени, но и денег. Важность тщательной настройки и проверки каждого шага в процессе тестирования безопасности невозможно переоценить. Даже если кажется, что система надежно защищена, всегда стоит проверять альтернативные сценарии и конфигурации. Именно такие, казалось бы, незначительные нюансы, как неправильный выбор протокола HTTP, могут скрыть уязвимость, стоящую целое вознаграждение», — объясняет Катасонов.

Пентестер, обнаружив уязвимость, позволяющую захватить чужой аккаунт, упустил вознаграждение из-за того, что тестировал функционал на поддомене staging с использованием HTTP вместо HTTPS. Токен для сброса пароля был перехвачен, и хотя пентестер смог сбросить пароль, вознаграждение он не получил, так как программа bug bounty действовала только для основного домена с HTTPS.

Оригинал публикации на сайте CISOCLUB: "Потерять $3750 за полминуты: когда хакер становится жертвой".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются