Sergey Belov - Another side of Bug Bounty programs

0c988f4618b436b14ce6ddcecd52d11d?s=47 DC7499
November 10, 2018

Sergey Belov - Another side of Bug Bounty programs

This talk will share a lot of information how defensive teams are working under bug bounty program, trying to invite more hackers and also about cool issues that they can find.

0c988f4618b436b14ce6ddcecd52d11d?s=128

DC7499

November 10, 2018
Tweet

Transcript

  1. 2.

    Bug Bounty в MRG • hackerone.com/mailru • hackerone.com/icq • hackerone.com/vkcom

    • hackerone.com/ok • + delivery-club.ru и lootdog.io
  2. 3.

    /mailru • ~700 уязвимостей с денежным вознаграждением • ~500 исследователей,

    которые прислали подтвержденные уязвимости • Всего выплатили ~ $250 000+ • Средняя выплата — $350 • Среднее время ответа — 6 часов
  3. 10.

    Мифы и факты • Получая уязвимости от исследователей, вы можете

    легко попробовать их на других сайтах! • Вы можете отметить сообщение об уязвимости как уже известное и присланное другим исследователем, и не заплатите денег! • Ваша задача — заплатить меньше денег! • На «черном рынке» уязвимости можно продать дороже!
  4. 11.

    0day в стороннем софте • Отключение или «виртуальный» патч •

    Сообщаем вендору с указанием, что эту уязвимость нам прислал такой-то исследователь на HackerOne • Выплачиваем исследователю вознаграждение
  5. 12.

    Развитие и популяризация Как привлечь исследователей? • Повышение выплат •

    Программа Google Play Bug Bounty • Раскрытие уязвимостей • Системы грантов • Промокоды, тематические вещи, Bug Bounty секции и т.п.