hackerone

  • ХабрахабрФото Интервью с Лукой Сафоновым о программах Bug Bounty и непосредственно платформе BugBounty.ru

    Интервью с Лукой Сафоновым о программах Bug Bounty и непосредственно платформе BugBounty.ru

    После ухода платформы HakerOne (h1) в России появилось несколько отечественных площадок Bug Bounty. Две из них информационная служба Хабра уже осветила, и вот настало время рассказать ещё об одной. На удивление, самую первую в России Bug Bounty площадку мы обозреваем самой последней. BugBounty.ru появилась ещё до ухода h1, до санкций и всех известных событий последнего года. Ну что же, лучше поздно,…

    Читать далее »
  • ХабрахабрФото Инструкция: как открыть программу баг-баунти и не облажаться

    Инструкция: как открыть программу баг-баунти и не облажаться

    Перед тем как написать этот пост, я расспросил знакомых из разных IT-компаний и столкнулся с полярными мнениями. Одни горячо топили за bug bounty и говорили, что это чуть ли не лучший способ поддерживать безопасность (правда часто оказывалось, что программу открыли еще до их найма), другие уверены, что это слишком рискованно. Истина, как всегда, где-то посередине. Спешный запуск bug bounty будет…

    Читать далее »
  • ХабрахабрФото Охота за ошибками была ошибочной

    Охота за ошибками была ошибочной

    На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов. Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот…

    Читать далее »
  • ХабрахабрФото [recovery mode] Bug bounty Ozon: вопросы и ответы

    [recovery mode] Bug bounty Ozon: вопросы и ответы

    Мы запустили публичную bug bounty программу на HackerOne — теперь за найденные на сайте Ozon уязвимости можно получить вознаграждение, а заодно помочь компании, сервисом которой пользуются друзья, знакомые и родственники. В этой статье команда информационной безопасности Ozon отвечает на самые популярные вопросы о программе. Какие ресурсы Ozon участвуют в программе? Пока только основной сайт, но мы планируем подключать и другие…

    Читать далее »
  • ХабрахабрФото Фирмы используют баг-баунти, чтобы купить молчание хакеров

    Фирмы используют баг-баунти, чтобы купить молчание хакеров

    Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая: Хакер сообщает о найденной уязвимости. Компания-разработчик исправляет баг и перечисляет хакеру вознаграждение в качестве благодарности за то, что он поступил правильно. Но в реальности всё работает иначе. Как показало расследование CSO, компании и платформы баг-баунти…

    Читать далее »
  • ХабрахабрФото Охота за уязвимостями на 7% эффективнее

    Охота за уязвимостями на 7% эффективнее

    «За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. К тому моменту я уже слышал об упрощенке для ИП и решил провести…

    Читать далее »
  • ХабрахабрФото Охота за уязвимостями на 7% эффективнее

    Охота за уязвимостями на 7% эффективнее

    «За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. К тому моменту я уже слышал об упрощенке для ИП и решил провести…

    Читать далее »
  • ХабрахабрФото [Из песочницы] Уязвимости GeekBrains: Зачем платить деньги за курсы если их можно просто скачать?

    [Из песочницы] Уязвимости GeekBrains: Зачем платить деньги за курсы если их можно просто скачать?

    А так же немного о других найденных уязвимостях. Небольшой сказ о маленькой погрешности, с помощью которой был получен доступ ко всем платным курсам и домашним заданиям на ресурсах. Предыстория Вечерами, в перерывах между чтением школьной литературы на лето, я участвовал в bug bounty программе от Mail.ru Group. Я искал новые поддомены и сервисы которыми владеют Mail.ru, на них довольно часто…

    Читать далее »
  • ХабрахабрФото Как багхантеры перехватывали письма в пневмопочте на ZeroNights

    Как багхантеры перехватывали письма в пневмопочте на ZeroNights

    За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. Несмотря на переезд из Москвы, конференция собрала более 1000 участников за 2 дня. А сегодня, на примере недавно прошедшей конференции по информационной безопасности…

    Читать далее »
  • ХабрахабрФото [Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей

    [Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей

    Собственно, для того, чтобы получить репутацию и «ускорение» на крупнейшей Bug Bounty — HackerOne, было принято решение сосредоточиться на поиске уязвимостей на одной из крупных bugbounty программ — mail.ru. Относительно недавно я перешёл от поиска уязвимостей на случайных сайтах к Bug Bounty площадкам, и для многих такой выбор кажется очевидным — в таких программах исследователь в 90% случаев получит не…

    Читать далее »


Кнопка «Наверх»