Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sergey Belov - Another side of Bug Bounty programs

DC7499
November 10, 2018
Research
0
220

Sergey Belov - Another side of Bug Bounty programs

This talk will share a lot of information how defensive teams are working under bug bounty program, trying to invite more hackers and also about cool issues that they can find.

DC7499

November 10, 2018
Tweet

More Decks by DC7499

See All by DC7499
Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]
defcon
0
350
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
defcon
0
200
Anton Lopanitsyn - Initial reconnaissance of web applications.
defcon
0
230
Dmitry Volkov - Private messengers: without pain??
defcon
1
210
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
defcon
1
170
Dmitry Sklyarov - Intel ME: Flash file system explained
defcon
0
340
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
defcon
0
410
Sergey Golovanov - Indecent Response 2018
defcon
0
330
Kupreev Oleg & Putin Vladimir - Your very own driver for the custom NVMe device from the scratch: reading of the flash memory of iPhone 7
defcon
1
430

Other Decks in Research

See All in Research
カスタマーサクセス白書2023 〜営業とカスタマーサクセスの協業で実現するLTV最大化 〜
hicustomer
0
640
そのリファレンス誰のため?ユーザ活用に向き合う/finjaws31
mhrtech
0
110
Introduction of NII Shoichi Koyama's Lab (FY2023)
sh01k
0
150
様々なCPUアーキテクチャにおけるROP攻撃 / CSEC100
yumulab
0
250
[CV関東3D勉強会] TPVFormer ~マルチカメラを用いた自動運転の3D Occupancy Prediction~
inoichan
0
510
会社訪問アプリ「Wantedly Visit」における 人・仕事・会社の関係性を考慮した相互推薦システム
hakubishin3
0
780
PAKDD2023 Tutorial 2: A Gentle Introduction to Technologies Behind Language Models and Recent Achievement in ChatGPT (Parts 3 and 4)
kyoun
5
800
AutoML チュートリアル(HPOとNAS)
sgnm
8
1.6k
Foundation Model and Robotics | 基盤モデルとロボティクス
mertcooking
3
3.8k
CSC570 Lecture 06
javiergs
PRO
0
150
Win ratioとは何か?
shuntaros
0
810
地球の歩き方旅行記データセット - 文章中の人物の移動軌跡を実世界の地図上に接地する -
hiroki13
1
160

Featured

See All Featured
Side Projects
sachag
450
38k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
16
1.2k
WebSockets: Embracing the real-time Web
robhawkes
58
6.2k
The Power of CSS Pseudo Elements
geoffreycrofte
54
4.5k
A Modern Web Designer's Workflow
chriscoyier
689
190k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
Reflections from 52 weeks, 52 projects
jeffersonlam
341
18k
Thoughts on Productivity
jonyablonski
52
2.9k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6k
Code Review Best Practice
trishagee
52
12k
What the flash - Photography Introduction
edds
64
10k

Transcript

  1. По ту сторону BugBounty
    Сергей Белов
    Mail.Ru Group

    View Slide

  2. Bug Bounty в MRG
    • hackerone.com/mailru
    • hackerone.com/icq
    • hackerone.com/vkcom
    • hackerone.com/ok
    • + delivery-club.ru и lootdog.io

    View Slide

  3. /mailru
    • ~700 уязвимостей с денежным
    вознаграждением
    • ~500 исследователей, которые прислали
    подтвержденные уязвимости
    • Всего выплатили ~ $250 000+
    • Средняя выплата — $350
    • Среднее время ответа — 6 часов

    View Slide

  4. Blind XSS - $500

    View Slide

  5. Race Condition - $1000

    View Slide

  6. Account Takeover - $1000

    View Slide

  7. XXE/SSRF - $1000

    View Slide

  8. Memory leak - $3500

    View Slide

  9. XXE/SSRF - $5000

    View Slide

  10. Мифы и факты
    • Получая уязвимости от исследователей, вы
    можете легко попробовать их на других
    сайтах!
    • Вы можете отметить сообщение об
    уязвимости как уже известное и присланное
    другим исследователем, и не заплатите
    денег!
    • Ваша задача — заплатить меньше денег!
    • На «черном рынке» уязвимости можно
    продать дороже!

    View Slide

  11. 0day в стороннем софте
    • Отключение или «виртуальный» патч
    • Сообщаем вендору с указанием, что эту
    уязвимость нам прислал такой-то
    исследователь на HackerOne
    • Выплачиваем исследователю
    вознаграждение

    View Slide

  12. Развитие и популяризация
    Как привлечь исследователей?
    • Повышение выплат
    • Программа Google Play Bug Bounty
    • Раскрытие уязвимостей
    • Системы грантов
    • Промокоды, тематические вещи, Bug
    Bounty секции и т.п.

    View Slide

  13. [email protected]
    @sergeybelove

    View Slide