hackerone
-
Хабрахабр
Интервью с Лукой Сафоновым о программах Bug Bounty и непосредственно платформе BugBounty.ru
После ухода платформы HakerOne (h1) в России появилось несколько отечественных площадок Bug Bounty. Две из них информационная служба Хабра уже осветила, и вот настало время рассказать ещё об одной. На удивление, самую первую в России Bug Bounty площадку мы обозреваем самой последней. BugBounty.ru появилась ещё до ухода h1, до санкций и всех известных событий последнего года. Ну что же, лучше поздно,…
Читать далее » -
Хабрахабр
Инструкция: как открыть программу баг-баунти и не облажаться
Перед тем как написать этот пост, я расспросил знакомых из разных IT-компаний и столкнулся с полярными мнениями. Одни горячо топили за bug bounty и говорили, что это чуть ли не лучший способ поддерживать безопасность (правда часто оказывалось, что программу открыли еще до их найма), другие уверены, что это слишком рискованно. Истина, как всегда, где-то посередине. Спешный запуск bug bounty будет…
Читать далее » -
Хабрахабр
Охота за ошибками была ошибочной
На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов. Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот…
Читать далее » -
Хабрахабр
[recovery mode] Bug bounty Ozon: вопросы и ответы
Мы запустили публичную bug bounty программу на HackerOne — теперь за найденные на сайте Ozon уязвимости можно получить вознаграждение, а заодно помочь компании, сервисом которой пользуются друзья, знакомые и родственники. В этой статье команда информационной безопасности Ozon отвечает на самые популярные вопросы о программе. Какие ресурсы Ozon участвуют в программе? Пока только основной сайт, но мы планируем подключать и другие…
Читать далее » -
Хабрахабр
Фирмы используют баг-баунти, чтобы купить молчание хакеров
Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая: Хакер сообщает о найденной уязвимости. Компания-разработчик исправляет баг и перечисляет хакеру вознаграждение в качестве благодарности за то, что он поступил правильно. Но в реальности всё работает иначе. Как показало расследование CSO, компании и платформы баг-баунти…
Читать далее » -
Хабрахабр
Охота за уязвимостями на 7% эффективнее
«За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. К тому моменту я уже слышал об упрощенке для ИП и решил провести…
Читать далее » -
Хабрахабр
Охота за уязвимостями на 7% эффективнее
«За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. К тому моменту я уже слышал об упрощенке для ИП и решил провести…
Читать далее » -
Хабрахабр
[Из песочницы] Уязвимости GeekBrains: Зачем платить деньги за курсы если их можно просто скачать?
А так же немного о других найденных уязвимостях. Небольшой сказ о маленькой погрешности, с помощью которой был получен доступ ко всем платным курсам и домашним заданиям на ресурсах. Предыстория Вечерами, в перерывах между чтением школьной литературы на лето, я участвовал в bug bounty программе от Mail.ru Group. Я искал новые поддомены и сервисы которыми владеют Mail.ru, на них довольно часто…
Читать далее » -
Хабрахабр
Как багхантеры перехватывали письма в пневмопочте на ZeroNights
За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. Несмотря на переезд из Москвы, конференция собрала более 1000 участников за 2 дня. А сегодня, на примере недавно прошедшей конференции по информационной безопасности…
Читать далее » -
Хабрахабр
[Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей
Собственно, для того, чтобы получить репутацию и «ускорение» на крупнейшей Bug Bounty — HackerOne, было принято решение сосредоточиться на поиске уязвимостей на одной из крупных bugbounty программ — mail.ru. Относительно недавно я перешёл от поиска уязвимостей на случайных сайтах к Bug Bounty площадкам, и для многих такой выбор кажется очевидным — в таких программах исследователь в 90% случаев получит не…
Читать далее »