Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sergey Belov - Another side of Bug Bounty programs

DC7499
November 10, 2018

Sergey Belov - Another side of Bug Bounty programs

This talk will share a lot of information how defensive teams are working under bug bounty program, trying to invite more hackers and also about cool issues that they can find.

DC7499

November 10, 2018
Tweet

More Decks by DC7499

Other Decks in Research

Transcript

  1. По ту сторону BugBounty
    Сергей Белов
    Mail.Ru Group

    View Slide

  2. Bug Bounty в MRG
    • hackerone.com/mailru
    • hackerone.com/icq
    • hackerone.com/vkcom
    • hackerone.com/ok
    • + delivery-club.ru и lootdog.io

    View Slide

  3. /mailru
    • ~700 уязвимостей с денежным
    вознаграждением
    • ~500 исследователей, которые прислали
    подтвержденные уязвимости
    • Всего выплатили ~ $250 000+
    • Средняя выплата — $350
    • Среднее время ответа — 6 часов

    View Slide

  4. Blind XSS - $500

    View Slide

  5. Race Condition - $1000

    View Slide

  6. Account Takeover - $1000

    View Slide

  7. XXE/SSRF - $1000

    View Slide

  8. Memory leak - $3500

    View Slide

  9. XXE/SSRF - $5000

    View Slide

  10. Мифы и факты
    • Получая уязвимости от исследователей, вы
    можете легко попробовать их на других
    сайтах!
    • Вы можете отметить сообщение об
    уязвимости как уже известное и присланное
    другим исследователем, и не заплатите
    денег!
    • Ваша задача — заплатить меньше денег!
    • На «черном рынке» уязвимости можно
    продать дороже!

    View Slide

  11. 0day в стороннем софте
    • Отключение или «виртуальный» патч
    • Сообщаем вендору с указанием, что эту
    уязвимость нам прислал такой-то
    исследователь на HackerOne
    • Выплачиваем исследователю
    вознаграждение

    View Slide

  12. Развитие и популяризация
    Как привлечь исследователей?
    • Повышение выплат
    • Программа Google Play Bug Bounty
    • Раскрытие уязвимостей
    • Системы грантов
    • Промокоды, тематические вещи, Bug
    Bounty секции и т.п.

    View Slide

  13. [email protected]
    @sergeybelove

    View Slide