После ухода платформы HakerOne (h1) в России появилось несколько отечественных площадок Bug Bounty. Две из них информационная служба Хабра уже осветила, и вот настало время рассказать ещё об одной. На удивление, самую первую в России Bug Bounty площадку мы обозреваем самой последней. BugBounty.ru появилась ещё до ухода h1, до санкций и всех известных событий последнего года.
Рубрика «hackerone»
Интервью с Лукой Сафоновым о программах Bug Bounty и непосредственно платформе BugBounty.ru
2023-01-31 в 10:43, admin, рубрики: bugbounty, bugbounty.ru, hackerone, OWASP, интервью, информационная безопасность, кибербезопасность, киберполигон, лука сафоновОхота за ошибками была ошибочной
2022-03-15 в 17:27, admin, рубрики: bugbounty, Bugcrowd, hackerone, информационная безопасностьНа волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.
Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот раз, руководство h1 сделало ход конём:
Фирмы используют баг-баунти, чтобы купить молчание хакеров
2020-04-21 в 10:32, admin, рубрики: bug bounty, Bugcrowd, hackerone, miran, NDA, Synack, аренда серверов, Блог компании Дата-центр «Миран», дата-центр "Миран", Законодательство в IT, информационная безопасность, Кэти Муссури, неразглашение, плата за молчание, серверы, Управление сообществом
Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая:
- Хакер сообщает о найденной уязвимости.
- Компания-разработчик исправляет баг и перечисляет хакеру вознаграждение в качестве благодарности за то, что он поступил правильно.
Но в реальности всё работает иначе. Как показало расследование CSO, компании и платформы баг-баунти настолько перевернули раскрытие уязвимостей с ног на голову, что многие эксперты, включая бывшего директора по политике HackerOne Кэти Муссури, называют это «извращением».
Читать полностью »
Охота за уязвимостями на 7% эффективнее
2020-01-07 в 11:30, admin, рубрики: bug bounty, hackerone, багхантинг, Законодательство в IT, индивидуальный предприниматель, информационная безопасность, налоги, усн, финансы в IT«За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc
С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). К тому моменту я уже слышал об упрощенке для ИП и решил провести ресерч, чтобы понять как я могу уменьшить сумму налога законными способами.
В этом посте я хочу рассказать историю успехов и фейлов, а также поделиться своим опытом, чтобы облегчить жизнь тем, кто хочет пройти похожий путь и показать новые возможности для тех, кто пока не задумывался на тему налогов и баг баунти.
Как начать заниматься Bug Bounty
2019-12-17 в 15:40, admin, рубрики: bug bounty, getting started, hackerone, hacking, information security, Блог компании OTUS. Онлайн-образование, информационная безопасностьДрузья, в этом месяце Otus запускает набор на новый курс — «Безопасность приложений». В преддверии старта курса традиционно подготовили для вас перевод полезного материала.
Как начать заниматься Bug Bounty? Этот вопрос весьма распространенный, и я продолжаю получать его в сообщениях день ото дня. Я не могу ответить на каждое сообщение, поэтому решил написать статью и отправлять всех новичков читать ее.
Я занимаюсь Bug Bounty уже пять лет. Тем не менее, есть множество вещей, которых я не знаю, да и сам я не эксперт, поэтому прошу не считать эту статью советом от эксперта. Я просто поделюсь тем, чего достиг за последние 5 лет, совершенствуя свои навыки день ото дня.Читать полностью »
Уязвимости GeekBrains: Зачем платить деньги за курсы если их можно просто скачать?
2019-09-20 в 8:04, admin, рубрики: bugbounty, geekbrains, hackerone, информационная безопасность, Тестирование веб-сервисов
Небольшой сказ о маленькой погрешности, с помощью которой был получен доступ ко всем платным курсам и домашним заданиям на ресурсах. А так же немного о других найденных уязвимостях.
Как багхантеры перехватывали письма в пневмопочте на ZeroNights
2018-12-27 в 8:04, admin, рубрики: $100, bughunter, hackerone, zeronights, Блог компании Mail.Ru Group, информационная безопасность
Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. А сегодня, на примере недавно прошедшей конференции по информационной безопасности ZeroNights, мы расскажем о том, каким образом можно привлекать хакеров к участию в поиске багов и уязвимостей через профильные мероприятия.
Читать полностью »
[Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей
2018-10-11 в 14:28, admin, рубрики: account takeover, blind xss, bug bounty, hackerone, improper access, xss, информационная безопасность, Разработка веб-сайтов, Тестирование IT-систем, Тестирование веб-сервисов![[Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей - 1](https://www.pvsm.ru/images/2018/10/11/Bug-bounty-mail-ru-dostup-k-admin-paneli-partnerskogo-saita-i-raskrytie-dannyh-2-mln-polzovatelei.png "[Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей - 1")
Относительно недавно я перешёл от поиска уязвимостей на случайных сайтах к Bug Bounty площадкам, и для многих такой выбор кажется очевидным — в таких программах исследователь в 90% случаев получит не только хороший опыт, но и гарантированную награду за валидную уязвимость, в то время как на случайном сайте можно наткнуться на непонимание и угрозы. Собственно, для того, чтобы получить репутацию и «ускорение» на крупнейшей Bug Bounty — HackerOne, было принято решение сосредоточиться на поиске уязвимостей на одной из крупных bugbounty программ — mail.ru.
В этой статье будет идти речь о нескольких багах на самом mail.ru, а так же об уязвимости на одном из поддоменов mail.ru, которая позволяла получить доступ к админ панели, в связи с чем возможно было просматривать личные данные 2 миллионов пользователей (такие как email адреса, номера телефонов, домашний адрес и др) с более чем 10 популярных интернет магазинов СНГ, а так же входить в их аккаунты без пароля. Читать полностью »
Вознаграждаем за уязвимости четвёртый год подряд
2018-05-29 в 9:31, admin, рубрики: 50 баксов - это 50 баксов, bug bounty, hackerone, Блог компании Mail.Ru Group, информационная безопасность
Специалисты в IT-безопасности, которые умеют находить уязвимости и эксплуатировать их, всегда стоят перед выбором — что, в итоге, с этими знаниями и умениями делать? И надо признать, что довольно большое количество таких специалистов выбирает путь ответственного раскрытия информации о найденных проблемах и уязвимостях. Именно с такими людьми компании должны уметь и хотеть взаимодействовать. Речь идет о Bug Bounty — объявляемых компаниями программах поиска уязвимостей в их продуктах и сервисах за денежное вознаграждение.
Читать полностью »
Иван Григоров: «Для топовых багхантеров $25К в месяц — не проблема»
2016-02-03 в 10:22, admin, рубрики: bug bounty, bughunting, hackerone, mail.ru, Блог компании Mail.Ru Group, информационная безопасность, Тестирование веб-сервисов 
Программы поиска уязвимостей всегда привлекают немало внимания со стороны хакеров и специалистов по безопасности. Ведь это легальный способ неплохо зарабатывать одними только поисками багов (при условии, что есть хороший опыт и голова на плечах). На днях нам представилась возможность взять интервью у багхантера Ивана reactors08 Григорова. Он лидер нашей программы Bug Bounty и занимает 11-е место в общем рейтинге платформы HackerOne.
Как начать искать баги? Может ли это быть единственным источником дохода? В каких Bug Bounty участвовать? Сколько зарабатывают багхантеры? И почему поиском уязвимостей особенно выгодно заниматься в кризис? Ответы на эти и другие вопросы читайте в нашем интервью.
Читать полностью »