🔒💻 Дневник Хакера: охота на уязвимости в финтехе

🔒💻 Дневник Хакера: охота на уязвимости в финтехе

Сегодня весь день тестировал программу Bug Bounty одного крупного российского банка 🏦 (не буду палить название, NDA же! 😎)

Что было сделано за сегодня:

🔍 Разведка:

• Собрал и проанализировал инфраструктуру - десятки поддоменов, сервисов, API endpoints

• Нашёл публичную техническую документацию их внутреннего API (кстати, интересно оформлена!)

• Изучил архитектуру платёжной системы - номинальные счета, виртуальные балансы, сделки... банкинг сложнее чем кажется! 🧠

🛡️ Тестирование безопасности:

• Проверил аутентификацию - используют PKI с цифровыми подписями, солидно!

• Прогнал automated scanners с соблюдением rate-limit (10 req/sec как положено)

• Нашёл несколько интересных зацепок, но пока рано говорить 🤐

💡 Что понял:

Банковская безопасность - это другой уровень. Core системы защищены как надо (PKI, IP whitelist, signing), но веб-приложения всё ещё имеют attack surface. Завтра буду копать глубже в сторону e-commerce части.

📚 Использованные инструменты:

Burp Suite Pro, Nuclei, subfinder, httpx, curl, и конечно же brain.exe 🧠💪

Кайфую от процесса! Это как квест - ищешь слабое место, тестируешь гипотезы, учишь архитектуру. И при этом помогаешь компаниям стать безопаснее 🛡️

P.S. Да, я работаю легально в рамках официальной Bug Bounty программы с signed NDA. Ethical hacking only! 😇

#bugbounty #cybersecurity #ethicalhacking #infosec #pentest #хакинг #кибербезопасность #bugbountyhunter #банки #fintech