Forwarded from Пост Лукацкого
Интересная дискуссия прошла на питерском ИТ-Диалоге. Я еще про нее в блоге напишу, а пока по горячим следам про BugBounty. На фоне новостей Минцифры про запуск BugBounty для Госуслуг я задал участникам вопрос, а готовы они идти дальше и выставлять свои решения для публичного легального взлома?
Региональные министры ИТ предложили рейтинговать софт в реестре отечественного ПО и, в зависимости от того, проходил вендор ПО программу BugBounty или нет, можно повышать рейтинг софта и давать ему больше преференций.
Виталий Сергеевич Лютиков (ФСТЭК) считает, что выставлять ГИС (как это будет делать Минцифры) для BugBounty можно, но только после проработки всех условий и ограничений и аппробации подхода. А вот вендорам было бы неплохо, если они не боятся, выйти на BugBounty-платформы. И может быть, когда-нибудь, такое требование появится в нормативке.
Так что не исключаю, что в 2023-м году участие в BugBounty может стать обязательным либо по направлению ИТ-разработки, либо ИБ. Ждемс…
Региональные министры ИТ предложили рейтинговать софт в реестре отечественного ПО и, в зависимости от того, проходил вендор ПО программу BugBounty или нет, можно повышать рейтинг софта и давать ему больше преференций.
Виталий Сергеевич Лютиков (ФСТЭК) считает, что выставлять ГИС (как это будет делать Минцифры) для BugBounty можно, но только после проработки всех условий и ограничений и аппробации подхода. А вот вендорам было бы неплохо, если они не боятся, выйти на BugBounty-платформы. И может быть, когда-нибудь, такое требование появится в нормативке.
Так что не исключаю, что в 2023-м году участие в BugBounty может стать обязательным либо по направлению ИТ-разработки, либо ИБ. Ждемс…
👍6
Молодая кровь есть: Эльдар, овнер канала digital razvedka, автор журнала Хакер, спикер Код ИБ.
Forwarded from 3side кибербезопасности
Немного статистики за 2022 год от багбаути платформы HackerOne!
Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.
На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.
По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)
Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.
Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".
Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.
Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.
На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.
По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)
Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.
Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".
Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.
👍7
VK разместила свою программу по поиску уязвимостей (bug bounty) на платформе BugBounty.ru. Это третье подобное партнерство: летом 2022 компания объявила о сотрудничестве с платформой Standoff 365 от Positive Technologies, а в ноябре — с платформой BI.ZONE Bug Bounty. В программу VK входят 27 проектов: ВКонтакте, Одноклассники, Почта Mail.ru, RuStore и другие сервисы, которыми пользуются миллионы россиян. За каждую выявленную уязвимость исследователи безопасности могут получить от компании вознаграждения от трех тысяч рублей до 1,8 миллиона рублей в зависимости от уровня критичности угрозы.
👍6
Самая высокооплачиваемая в РФ публичная программа от ВК: https://bugbounty.ru/app/programs/vk
Хорошей охоты!
Хорошей охоты!
👍4
MPonCOTS PCI DSS от ноября 2022 года говорит что надо делать bug bounty, такие дела.
Коллеги из ПТ и Бизона решили прийти к русскоязычному термину багбаунти. Ок, добро пожаловать на багбаунти.рф.
👍11
Forwarded from VK
🪲 Взяли и удвоили максимальные выплаты исследователям по программе Bug Bounty.
➡️ Теперь за найденные лазейки в проектах VK вы сможете получить аж до 3,6 миллионов рублей .
Если, конечно, сможете их найти — а это соооооооовсем не просто 🤷
👉 Принять вызов 👈
Если, конечно, сможете их найти — а это соооооооовсем не просто 🤷
👉 Принять вызов 👈
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
OpenAI запустили публичную BB (на Bugcrowd)
https://thehackernews.com/2023/04/chatgpt-security-openais-bug-bounty.html?m=1, но репорты индусы потащили к нам.
https://thehackernews.com/2023/04/chatgpt-security-openais-bug-bounty.html?m=1, но репорты индусы потащили к нам.
👍7
Тинькофф в 2,5 раза увеличил выплаты за найденные уязвимости
Теперь багхантеры могут получить до 400 000 рублей. Можно искать пробелы во всех сервисах, на сайтах и приложениях не только банка, но и Тинькофф Страхования, Тинькофф Инвестиций, Тинькофф Бизнеса и т.д.
Всего в скоупе 4 домена, 11 сервисов и приложений.
Подать уязвимость можно после регистрации на платформе https://bugbounty.ru/app/programs/tinkoff.
Кстати, при желании вы можете отказаться от вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличит сумму выплаты в 5 раз и отправит ее в один из надежных благотворительных фондов, указанных в их приложении.
Теперь багхантеры могут получить до 400 000 рублей. Можно искать пробелы во всех сервисах, на сайтах и приложениях не только банка, но и Тинькофф Страхования, Тинькофф Инвестиций, Тинькофф Бизнеса и т.д.
Всего в скоупе 4 домена, 11 сервисов и приложений.
Подать уязвимость можно после регистрации на платформе https://bugbounty.ru/app/programs/tinkoff.
Кстати, при желании вы можете отказаться от вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличит сумму выплаты в 5 раз и отправит ее в один из надежных благотворительных фондов, указанных в их приложении.
👍4