$30 off During Our Annual Pro Sale. View Details »

Sergey Belov - Another side of Bug Bounty programs

DC7499
November 10, 2018

Sergey Belov - Another side of Bug Bounty programs

This talk will share a lot of information how defensive teams are working under bug bounty program, trying to invite more hackers and also about cool issues that they can find.

DC7499

November 10, 2018
Tweet

More Decks by DC7499

Other Decks in Research

Transcript

  1. По ту сторону BugBounty Сергей Белов Mail.Ru Group

  2. Bug Bounty в MRG • hackerone.com/mailru • hackerone.com/icq • hackerone.com/vkcom

    • hackerone.com/ok • + delivery-club.ru и lootdog.io
  3. /mailru • ~700 уязвимостей с денежным вознаграждением • ~500 исследователей,

    которые прислали подтвержденные уязвимости • Всего выплатили ~ $250 000+ • Средняя выплата — $350 • Среднее время ответа — 6 часов
  4. Blind XSS - $500

  5. Race Condition - $1000

  6. Account Takeover - $1000

  7. XXE/SSRF - $1000

  8. Memory leak - $3500

  9. XXE/SSRF - $5000

  10. Мифы и факты • Получая уязвимости от исследователей, вы можете

    легко попробовать их на других сайтах! • Вы можете отметить сообщение об уязвимости как уже известное и присланное другим исследователем, и не заплатите денег! • Ваша задача — заплатить меньше денег! • На «черном рынке» уязвимости можно продать дороже!
  11. 0day в стороннем софте • Отключение или «виртуальный» патч •

    Сообщаем вендору с указанием, что эту уязвимость нам прислал такой-то исследователь на HackerOne • Выплачиваем исследователю вознаграждение
  12. Развитие и популяризация Как привлечь исследователей? • Повышение выплат •

    Программа Google Play Bug Bounty • Раскрытие уязвимостей • Системы грантов • Промокоды, тематические вещи, Bug Bounty секции и т.п.
  13. s.belov@corp.mail.ru @sergeybelove