Sergey Belov - Another side of Bug Bounty programs
This talk will share a lot of information how defensive teams are working under bug bounty program, trying to invite more hackers and also about cool issues that they can find.
Мифы и факты • Получая уязвимости от исследователей, вы можете легко попробовать их на других сайтах! • Вы можете отметить сообщение об уязвимости как уже известное и присланное другим исследователем, и не заплатите денег! • Ваша задача — заплатить меньше денег! • На «черном рынке» уязвимости можно продать дороже!
0day в стороннем софте • Отключение или «виртуальный» патч • Сообщаем вендору с указанием, что эту уязвимость нам прислал такой-то исследователь на HackerOne • Выплачиваем исследователю вознаграждение
Развитие и популяризация Как привлечь исследователей? • Повышение выплат • Программа Google Play Bug Bounty • Раскрытие уязвимостей • Системы грантов • Промокоды, тематические вещи, Bug Bounty секции и т.п.