Программе «Охота за ошибками» в «Яндекс» исполняется десять лет. В честь юбилея компания в 10 раз увеличивает награду этичным хакерам, которые смогут найти уязвимости в сервисах и инфраструктуре «Яндекс». Максимальная выплата за уязвимость составит 7,5 млн рублей, и конкурс с увеличенным вознаграждением будет действовать до 20 октября 2022 года.
👍1
Доступна публичная оплачиваемая программа Консоль.Про: https://bugbounty.ru/app/programs/konsol-pro
👍3
Круто осознавать, что наша платформа не только помогает компаниям находить уязвимости, но и становится проводником добрых дел. Не так давно один из исследователей bugbounty.ru помог Тинькофф выявить уязвимость в их сервисе, что позволило оперативно её закрыть и повысить безопасность обслуживания клиентов. В качестве поощрения Тинькофф по своей программе bug bounty выделяет бонусы багхантерам, при этом получатель при желании может отказаться от своего вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличивает сумму в 5 раз и отправляет ее в один из проверенных фондов, который исследователь может выбрать на сайте Тинькофф в разделе «Благотворительность». Так и поступил один из багхантеров проекта, пожертвовав свой бонус, который был увеличен до 675 тыс. рублей, в один из благотворительных фондов.
👍13
Forwarded from Багхантер (Yurasik)
Telegraph
Интервью с багхантером Impact
На момент выхода интервью - Impact имеет более 2180 поинтов на HackerOne. Сегодня мы узнаем, как находить Critical уязвимости, можно ли их искать имея только смартфон и получим крутые советы. Ну и конечно не забываем про пиццу, которую наш гость обещал тому…
👍9
Forwarded from BI.ZONE
9 декабря мы проведем вторую встречу «Клуба неанонимных багхантеров». Вас ждут доклады про bug bounty, тусовка крутых специалистов, пиво и много живого общения.
Регистрация для всех желающих откроется после того, как соберем программу, — об этом сообщим дополнительно.
А сейчас открываем CFP и зовем вас поделиться опытом в багхантинге! Выступить можно как очно, так и онлайн.
Ждем ваши доклады на темы:
И не бойтесь предлагать что-то свое! Если доклад полезен багхантерам, у него есть все шансы попасть в программу.
Длительность доклада: 20–40 минут.
Место: офис BI.ZONE в Москве или онлайн.
Дедлайн подачи заявок: до 23 ноября, 23:59 (мск).
Подать заявку
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from Пост Лукацкого
Интересная дискуссия прошла на питерском ИТ-Диалоге. Я еще про нее в блоге напишу, а пока по горячим следам про BugBounty. На фоне новостей Минцифры про запуск BugBounty для Госуслуг я задал участникам вопрос, а готовы они идти дальше и выставлять свои решения для публичного легального взлома?
Региональные министры ИТ предложили рейтинговать софт в реестре отечественного ПО и, в зависимости от того, проходил вендор ПО программу BugBounty или нет, можно повышать рейтинг софта и давать ему больше преференций.
Виталий Сергеевич Лютиков (ФСТЭК) считает, что выставлять ГИС (как это будет делать Минцифры) для BugBounty можно, но только после проработки всех условий и ограничений и аппробации подхода. А вот вендорам было бы неплохо, если они не боятся, выйти на BugBounty-платформы. И может быть, когда-нибудь, такое требование появится в нормативке.
Так что не исключаю, что в 2023-м году участие в BugBounty может стать обязательным либо по направлению ИТ-разработки, либо ИБ. Ждемс…
Региональные министры ИТ предложили рейтинговать софт в реестре отечественного ПО и, в зависимости от того, проходил вендор ПО программу BugBounty или нет, можно повышать рейтинг софта и давать ему больше преференций.
Виталий Сергеевич Лютиков (ФСТЭК) считает, что выставлять ГИС (как это будет делать Минцифры) для BugBounty можно, но только после проработки всех условий и ограничений и аппробации подхода. А вот вендорам было бы неплохо, если они не боятся, выйти на BugBounty-платформы. И может быть, когда-нибудь, такое требование появится в нормативке.
Так что не исключаю, что в 2023-м году участие в BugBounty может стать обязательным либо по направлению ИТ-разработки, либо ИБ. Ждемс…
👍6
Молодая кровь есть: Эльдар, овнер канала digital razvedka, автор журнала Хакер, спикер Код ИБ.
Forwarded from 3side кибербезопасности
Немного статистики за 2022 год от багбаути платформы HackerOne!
Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.
На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.
По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)
Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.
Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".
Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.
Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.
На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.
По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)
Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.
Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".
Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.
👍7