Pro Yearly is on sale from $80 to $50! »

Sergey Belov - Another side of Bug Bounty programs

0c988f4618b436b14ce6ddcecd52d11d?s=47 DC7499
November 10, 2018

Sergey Belov - Another side of Bug Bounty programs

This talk will share a lot of information how defensive teams are working under bug bounty program, trying to invite more hackers and also about cool issues that they can find.

0c988f4618b436b14ce6ddcecd52d11d?s=128

DC7499

November 10, 2018
Tweet

Transcript

  1. По ту сторону BugBounty Сергей Белов Mail.Ru Group

  2. Bug Bounty в MRG • hackerone.com/mailru • hackerone.com/icq • hackerone.com/vkcom

    • hackerone.com/ok • + delivery-club.ru и lootdog.io
  3. /mailru • ~700 уязвимостей с денежным вознаграждением • ~500 исследователей,

    которые прислали подтвержденные уязвимости • Всего выплатили ~ $250 000+ • Средняя выплата — $350 • Среднее время ответа — 6 часов
  4. Blind XSS - $500

  5. Race Condition - $1000

  6. Account Takeover - $1000

  7. XXE/SSRF - $1000

  8. Memory leak - $3500

  9. XXE/SSRF - $5000

  10. Мифы и факты • Получая уязвимости от исследователей, вы можете

    легко попробовать их на других сайтах! • Вы можете отметить сообщение об уязвимости как уже известное и присланное другим исследователем, и не заплатите денег! • Ваша задача — заплатить меньше денег! • На «черном рынке» уязвимости можно продать дороже!
  11. 0day в стороннем софте • Отключение или «виртуальный» патч •

    Сообщаем вендору с указанием, что эту уязвимость нам прислал такой-то исследователь на HackerOne • Выплачиваем исследователю вознаграждение
  12. Развитие и популяризация Как привлечь исследователей? • Повышение выплат •

    Программа Google Play Bug Bounty • Раскрытие уязвимостей • Системы грантов • Промокоды, тематические вещи, Bug Bounty секции и т.п.
  13. s.belov@corp.mail.ru @sergeybelove