Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sergey Belov - Another side of Bug Bounty programs

DC7499
November 10, 2018

Sergey Belov - Another side of Bug Bounty programs

This talk will share a lot of information how defensive teams are working under bug bounty program, trying to invite more hackers and also about cool issues that they can find.

DC7499

November 10, 2018
Tweet

More Decks by DC7499

Other Decks in Research

Transcript

  1. По ту сторону BugBounty
    Сергей Белов
    Mail.Ru Group

    View full-size slide

  2. Bug Bounty в MRG
    • hackerone.com/mailru
    • hackerone.com/icq
    • hackerone.com/vkcom
    • hackerone.com/ok
    • + delivery-club.ru и lootdog.io

    View full-size slide

  3. /mailru
    • ~700 уязвимостей с денежным
    вознаграждением
    • ~500 исследователей, которые прислали
    подтвержденные уязвимости
    • Всего выплатили ~ $250 000+
    • Средняя выплата — $350
    • Среднее время ответа — 6 часов

    View full-size slide

  4. Blind XSS - $500

    View full-size slide

  5. Race Condition - $1000

    View full-size slide

  6. Account Takeover - $1000

    View full-size slide

  7. XXE/SSRF - $1000

    View full-size slide

  8. Memory leak - $3500

    View full-size slide

  9. XXE/SSRF - $5000

    View full-size slide

  10. Мифы и факты
    • Получая уязвимости от исследователей, вы
    можете легко попробовать их на других
    сайтах!
    • Вы можете отметить сообщение об
    уязвимости как уже известное и присланное
    другим исследователем, и не заплатите
    денег!
    • Ваша задача — заплатить меньше денег!
    • На «черном рынке» уязвимости можно
    продать дороже!

    View full-size slide

  11. 0day в стороннем софте
    • Отключение или «виртуальный» патч
    • Сообщаем вендору с указанием, что эту
    уязвимость нам прислал такой-то
    исследователь на HackerOne
    • Выплачиваем исследователю
    вознаграждение

    View full-size slide

  12. Развитие и популяризация
    Как привлечь исследователей?
    • Повышение выплат
    • Программа Google Play Bug Bounty
    • Раскрытие уязвимостей
    • Системы грантов
    • Промокоды, тематические вещи, Bug
    Bounty секции и т.п.

    View full-size slide