Sergey Belov - Another side of Bug Bounty programs

Transcript

1. По ту сторону BugBounty Сергей Белов Mail.Ru Group

2. Bug Bounty в MRG • hackerone.com/mailru • hackerone.com/icq • hackerone.com/vkcom

   • hackerone.com/ok • + delivery-club.ru и lootdog.io

3. /mailru • ~700 уязвимостей с денежным вознаграждением • ~500 исследователей,

   которые прислали подтвержденные уязвимости • Всего выплатили ~ $250 000+ • Средняя выплата — $350 • Среднее время ответа — 6 часов

4. Blind XSS - $500

5. Race Condition - $1000

6. Account Takeover - $1000

7. XXE/SSRF - $1000

8. Memory leak - $3500

9. XXE/SSRF - $5000

10. Мифы и факты • Получая уязвимости от исследователей, вы можете

    легко попробовать их на других сайтах! • Вы можете отметить сообщение об уязвимости как уже известное и присланное другим исследователем, и не заплатите денег! • Ваша задача — заплатить меньше денег! • На «черном рынке» уязвимости можно продать дороже!

11. 0day в стороннем софте • Отключение или «виртуальный» патч •

    Сообщаем вендору с указанием, что эту уязвимость нам прислал такой-то исследователь на HackerOne • Выплачиваем исследователю вознаграждение

12. Развитие и популяризация Как привлечь исследователей? • Повышение выплат •

    Программа Google Play Bug Bounty • Раскрытие уязвимостей • Системы грантов • Промокоды, тематические вещи, Bug Bounty секции и т.п.

13. [email protected] @sergeybelove