Социальная сеть Вконтакте уже настолько плотно вошла в жизнь многих людей, что стала неотъемлемым атрибутом бизнеса, общения, знакомств и просто времяпровождения. Она имеет удобный и понятный интерфейс, разобраться в котором сможет даже ребенок. Но немногие знают о некоторых скрытых на первый взгляд возможностях сети, которые в некоторых случаях упростят использование ВК, а в некоторых уберегут от беды.
По состоянию на начало 2018 года в ВК зарегистрировано около полумиллиарда пользователей
Возраст человека
Это наверное, самая простая фишка Вконтакте. В этой сети есть возможность скрыть свой возраст от лишних глаз.
Пункт сокрытия даты рождения
И теперь все посетители страницы не смогут увидеть истинный возраст или узнать его полностью. Но нас интересует как раз то, как можно узнать возраст человека. Для этого нам понадобится любой искомый объект. Например, любая страница Вконтакте со скрытым возрастом.
Пример частично скрытого возраста
Как же быть? Все очень просто. Если человек состоит в группе, нам нужно перейти в эту группу. Проще всего это сделать из пункта «Интересные страницы». Но если нет ни одной группы, не беда — можно использовать и глобальный поиск.
ТОП 10 БАГОВ ВКОНТАКТЕ ОТ ПОДПИСЧИКОВ
Итак, нас интересует раздел «Интересные страницы». Это наиболее посещаемые пользователем группы и страницы. И если пользователь является подписчиком одной из этих групп — нам повезло.
Раздел интересные страницы
Теперь переходим в любую группу раздела, затем в «Подписчики» и нажимаем иконку поиска. Так как имя пользователя мы уже знаем, то вводим его. И вот мы нашли нашего пользователя. Справа имеется блок фильтров, среди которых нас интересует «Возраст».
Фильтр возраста поиска
Осталось немного поиграться с ним, чтобы путем перебора вычислить точное значение возраста. Каждый раз, когда значение будет находится вне указанного диапазона, система согласно фильтру не будет находить пользователя. И как только удастся угадать, он отобразится в списке. Естественно, что при таком подходе остается только надеяться на то, что возраст был указан владельцем страницы правильно.
Найденный диапазон возраста
Разговор с самим собой
Иногда в голову приходит новая свежая мысль или идея, которую реализовать в данный момент совсем нет времени. Поэтому приходится её записывать. И очень удобно это делать с помощью ВК, ведя диалог с самим собой. То есть отправлять сообщения на свою же страницу.
Диалог с самим собой никогда не удалится, никуда не денется и всегда будет висеть в сообщениях, как удобный журнал записей с указанием даты и времени. Весьма удобный и простой лайфхак. Кстати, использовать можно не только текст, но и картинки.
Как поговорить с самим собой
Утекшие документы
Этот баг, а может, наоборот фича известен уже давно и не писал о нем только ленивый. Мы же немного расширим эту тему и сделаем акцент на другом аспекте этой фишки.
Вконтакте можно хранить и передавать друг другу разнообразные файлы с помощью функционала «Документы». Вот только в результате его реализации, впоследствии ошибки, а может быть наоборот, система при поиске выдавала все сохраненные в соцсети документы. Несколько лет назад из-за этого бага «уплыло» много сканов паспортов, частных фотографий и других конфиденциальных данных.
САМЫЕ ЧИТЕРСКИЕ БАГИ И ФИШКИ ВКОНТАКТЕ. 9999% СЕКРЕТНО
Этот метод работает и по сей день. Реализовать его можно двумя способами — либо через отправку сообщений при отправке документа, либо просто перейдя в раздел документы, на левой панели страницы. В поиске можно задать что-то абстрактное, например, типы файлов, а можно найти конкретный документ по названию. После нажатия Enter отобразится список всех документов, подходящих запросу.
Его можно просмотреть или сохранить себе. Но что делать, если нужно узнать, кому принадлежит документ? Все очень просто. При открытии документа в новой вкладке, в адресной строке будет отображен путь типа « https://vk.com/docxxxxxxx_00000000 », где x – это id пользователя. То есть всего лишь нужно подставить это значение в адресную строку и перейти по нему.
Это может быть полезным, если вдруг вы случайным образом среди документов обнаружили себя или своих близких. Кстати, если вы хотите добавить документ и не хотите, чтобы он отображался в поиске, укажите на странице добавления, что это личный документ.
Установка отметки личного документа
Ну а теперь немного о полезной части этого функционала. Так как на сервер постоянно загружаются просто гигабайты документов, то среди них можно найти действительно нужные вещи, например, книги или справочники. Но все же, будьте внимательны, мошенники очень часто используют эту функцию для распространения вредоносного кода.
В документах можно найти интересные книги и статьи
Внешний вид
Если вам захотелось чего-то необычного, то вы можете изменить язык своей страницы на дореволюционный. Все пункты меню и названия сразу же приобретают соответствующее написание. Выглядит весьма необычно.
Переключение языка
Если вы не хотите, чтобы в информации о вас на странице не указывались определенные группы, то их можно хитро скрыть, продолжая при этом читать ленту этого паблика. Сделать это очень просто. Заходим в раздел «Новости». Затем справа выбираем значок «+», который позволит добавить нам новую вкладку.
Добавление новой вкладки для наблюдения за группой
Затем выбираем паблик, за которым хотим наблюдать и нажимаем «Сохранить». Теперь можно отписаться от паблика.
Указание нужной группы
Теперь при переходе в новости и выборе своей вкладки, мы увидим набор новостей от нужной группы.
Источник: dzen.ru
Вознаграждения в Bug Bounty VK, или Как мы работаем с деньгами
Привет, Хабр! В прошлой статье я рассказал о том, как правильно искать уязвимости и составлять отчёты для программы Bug Bounty VK, сегодня я хочу раскрыть тему вознаграждений. Если тебе интересно узнать, почему с точки зрения владельца программы и багхантера это два абсолютно разных процесса и зачем нужна независимая платформа, то велком под кат.
Выплаты и их расчёт
VK использует многокритериальную систему анализа стоимости, давайте разберем, что это такое и как она работает.
- Мы анализируем уровень зрелости сервиса (подробнее об этом ниже).
- Мы анализируем российский рынок и ориентируемся на сложность нахождения уязвимости в инфраструктуре: чем сильнее защищён сервис, чем сложнее в нём найти уязвимость, тем выше будет цена находки.
Если вы когда-либо изучали правила программ Bug Bounty VK на разных платформах, то могли заметить закономерность в формировании стоимости. В схожих продуктах стоимость зачастую одинаковая, но возможны исключения, специфичные для сервиса. Все наши сервисы распределены по категориям зрелости, которые варьируются по классам от А до G: где А — это самый высокий, а G — соответственно, самый базовый.
Как определяется уровень зрелости сервиса?
Оценка происходит из ответов на вопросы: как давно проводились пентесты, когда был внутренний аудит, запущено ли сканирование инфраструктуры изнутри и снаружи, а также установлены ли на серверы все средства защиты и насколько они соответствуют корпоративному стандарту.
Присвоение класса и дальнейший его пересмотр происходит коллегиально. В комиссию входит, в среднем, пять человек, с обязательным присутствием директора департамента защиты инфраструктуры.
Как выставляются цены за баги в программе Bug Bounty
Общепринятый подход: уязвимость оплачивается в соответствии с её критичностью по CVSS-влиянию. Но тогда нельзя акцентировать внимание на определенном классе проблем внутри сервиса. Поэтому внутри каждой программы Bug Bounty VK вводится собственная система вознаграждения (таблица «Размер вознаграждения»), в которой заявлены оплачиваемые уязвимости. Не упомянутые в таблице «Размер вознаграждения» уязвимости оплачиваются на усмотрение владельца программы.
Такой подход выбран сознательно, чтобы направить усилия исследователей на поиск наиболее интересных проблем внутри продукта и исключить менее приоритетные ошибки. Например, Почта, Облако и Календарь Mail.ru оценивают простую XSS в 60 000 руб., а XSS в переписке пользователей — в 120 000 руб., так как считают вторую проблему более важной и приоритетной, хотя CVSS-влияние у них одинаковое.
Размер выплаты может увеличиться, если аналитику отдела Bug Bounty удаётся выявить большее влияние уязвимости на безопасность приложения, чем заявил исследователь. В отчёте ниже мы увеличили размер вознаграждения в три раза, так как аналитику удалось увеличить влияние IDOR до максимального.
Взаимодействие компании и платформы
Между VK и платформами, на которых компания размещает свои программы Bug Bounty, устанавливаются договорные отношения о проведении конкурса, именно поэтому выплаты исследователям происходят после нескольких раундов проверки предоставленных отчётов. VK оценивает отчёты с точки зрения ценности исследования, а владельцы платформы подтверждают, что присуждение выплат соответствует заявленным правилам. Все выплаты багхантерам производятся с баланса платформы после подтверждения результатов. Платформа, на которой размещается программа, выступает гарантом проведения конкурса и того, что выплаты исследователям будут осуществлены.
Наличие независимой платформы для программ Bug Bounty позволяет решать многие юридические вопросы, а также выплачивать награды, соблюдая анонимность хакеров. Кроме того, наличие третьей независимой стороны позволяет дополнительно регулировать взаимодействие владельца программы с исследователями. Платформа включается в решение всех спорных вопросов в качестве третейского судьи.
Кворум, или Почему мы всегда принимаем совместные решения о выплатах
Любое решение о присуждении вознаграждения и размере выплаты за проведённое исследование принимается во время обсуждения внутренней комиссией из сотрудников ИБ VK. Также к оценке размера выплаты и последующему кворуму периодически привлекаются разработчики сервисов, потому что они лучше понимают продукт.
В стандартных ситуациях у аналитиков программы Bug Bounty нет доступа к коду — так мы при анализе и подтверждении ошибок ставим себя в те же условия, что и исследователь. Получить доступ к исходникам сотрудники отдела Bug Bounty могут, например, при подтверждении комплексных уязвимостей и проверке повсеместности или корректности исправления проблемы, но не на этапе проверки отчёта.
Сроки и условия выплат за уязвимости могут отличаться в различных сервисах: внутренняя «кухня» каждого сервиса по исправлению багов даже в рамках одной программы различна. Например, ВКонтакте — это огромный сервис, состоящий из множества подсистем и разрабатываемый большим количеством программистов, поэтому скорость исправления ошибки будет варьироваться. Но мы всегда стараемся выплатить вознаграждение до факта закрытия бага.
По статистике HackerOne, программы Bug Bounty, аналогичные VK, тратят на исправление одной ошибки от 42,2 до 148,3 рабочих дней. Мы стараемся закрывать ошибки примерно за это время, хотя можем похвастаться и рекордом: самый быстрый из зарегистрированных фиксов длился 11 минут. Но рекорд — это, скорее, исключение из правил, и на исправление, в среднем, уходит несколько месяцев.
Скорость важна не только для исследователей ИБ, но и для компании, так как быстро закрытый отчёт помогает уменьшить количество дубликатов, экономя время всем участникам программы.
Что делать, если вы считаете, что вам заплатили неправильно или мало?
Возможна ситуация, когда исследователь не согласен с размером выплаты или статусом «дубликата». В таком случае первое, что нужно сделать — написать комментарии и грамотно аргументировать свою позицию.
Например, если вы считаете, что ваш отчёт неправильно оценили по критичности, то вам нужно открыть CVSS-калькулятор, оценить отчёт самостоятельно и описать, почему был выбран каждый из указанных параметров. Добавьте таблицу CVSS и аргументацию выбранных параметров CVSS-калькулятора в комментарий к отчёту.
Правильно оформленный отчёт сокращает переписку между исследователем и владельцем Bug Bounty-программы. Но если вышло так, что вам заплатили меньше, чем вы рассчитывали, и вам кажется, что влияние уязвимости было более весомым, — напишите, по какой категории, вы считаете, должна быть оценена данная уязвимость, и приведите аргументы, почему именно по ней. VK выплачивает вознаграждение в соответствии с заявленным типом и может отказать в выплате, если вектора атаки нет в таблице «Размер вознаграждения».
Искусство конфликта
Основные конфликты в Bug Bounty возникают именно из-за выплат или их размера. Конфликтующие стороны видят одну и ту же ситуацию по-разному:
- Охотник за багами считает, что:
- владелец программы пользуется его трудом и не хочет оплачивать уязвимость;
- владелец программы закрыл проблему до того, как принял и оплатил отчёт.
В любой конфликтной для вас ситуации помните, что в программе Bug Bounty VK работают люди, которые всегда открыты к диалогу с исследователями. Любой спорный момент всегда можно обсудить и мирно решить, если обе стороны заинтересованы, а грамотная позиция и аргументация позволят ускорить процесс. Если вы оказались в ситуации конфликта, попробуйте сперва поставить себя на место оппонента или обратитесь за помощью к платформе.
Помните, что мы, как владельцы программы, заинтересованы в хакерах и хотим, чтобы они искали уязвимости в наших программах с удвоенным ажиотажем. Для нас поругаться с исследователем — это навредить программе Bug Bounty.
Вместо послесловия
ИБ-аналитики, работающие в программе Bug Bounty, стремятся создавать и поддерживать дружескую атмосферу, без конфликтных ситуаций. Мы ценим ваш труд и хотим, чтобы вы возвращались к нам с новыми (и, желательно, высокооплачиваемыми) отчётами.
Источник: habr.com
Юридическая социальная сеть
566.8к
Подписаться
13 246 785
Актуальные темы
Публикации
Вопрос дня
Техническая поддержка 9111.ru
Юридическая публикация
Астрология
Государство
Жалоба на действия или бездействие
Мнение о специалистах и организациях
Образ жизни
Образование
Отзывы о товарах и услугах
Светская жизнь
Технологии
Курьёзные вопросы
Социальные сети
Законы и кодексы
Сообщества
Автор публикации
Алексей Андреевич Подписчиков: 2549
566.8к
Как искать баги в VK и получать за это деньги?
28 просмотров
14 дочитываний
0 комментариев
На сегодня эта публикация уже заработала 0,80 рублей за дочитывания Зарабатывать
Для социальных сетей безопасность пользователей является одним из важнейших аспектов работы и они готовы прилично платить за различные баги и недоработки в системе. Такой подход повышает эффективность поиска ошибок, что способствует совершенствованию уровня безопасности.
Так, участники программы Bug Bounty от ВКонтакте (https://hackerone.com/vkcom?type=team) получают выплаты за отчёты о потенциальных уязвимостях. За пять лет 461 исследователю выплатили в общей сумме более 27 млн рублей. Особое внимание в обновлённой программе Bug Bounty будет уделяться VK ID — сервису единой авторизации для всех проектов экосистемы VK.
Через VK ID за пределами ВКонтакте авторизуются уже больше 51 миллиона пользователей. Чтобы дополнительно усилить их безопасность, социальная сеть выделила VK ID в отдельную категорию Bug Bounty: за найденные в сервисе уязвимости исследователи получат вознаграждение от 500 до 20 000$.
Источник: www.9111.ru