Статья Эльдара в Хакере: https://xakep.ru/2022/08/19/vk-clickjacking/

Эльдару 13 лет.

Немного статистики за 2022 год от багбаути платформы HackerOne!

Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.

На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.

По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)

Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.

Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".

Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.

VK разместила свою программу по поиску уязвимостей (bug bounty) на платформе BugBounty.ru. Это третье подобное партнерство: летом 2022 компания объявила о сотрудничестве с платформой Standoff 365 от Positive Technologies, а в ноябре — с платформой BI.ZONE Bug Bounty. В программу VK входят 27 проектов: ВКонтакте, Одноклассники, Почта Mail.ru, RuStore и другие сервисы, которыми пользуются миллионы россиян. За каждую выявленную уязвимость исследователи безопасности могут получить от компании вознаграждения от трех тысяч рублей до 1,8 миллиона рублей в зависимости от уровня критичности угрозы.

Самая высокооплачиваемая в РФ публичная программа от ВК: https://bugbounty.ru/app/programs/vk

Хорошей охоты!

MPonCOTS PCI DSS от ноября 2022 года говорит что надо делать bug bounty, такие дела.

Коллеги из ПТ и Бизона решили прийти к русскоязычному термину багбаунти. Ок, добро пожаловать на багбаунти.рф.

OpenAI запустили публичную BB (на Bugcrowd)
https://thehackernews.com/2023/04/chatgpt-security-openais-bug-bounty.html?m=1, но репорты индусы потащили к нам.

Тинькофф в 2,5 раза увеличил выплаты за найденные уязвимости

Теперь багхантеры могут получить до 400 000 рублей. Можно искать пробелы во всех сервисах, на сайтах и приложениях не только банка, но и Тинькофф Страхования, Тинькофф Инвестиций, Тинькофф Бизнеса и т.д.
Всего в скоупе 4 домена, 11 сервисов и приложений.
Подать уязвимость можно после регистрации на платформе https://bugbounty.ru/app/programs/tinkoff.
Кстати, при желании вы можете отказаться от вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличит сумму выплаты в 5 раз и отправит ее в один из надежных благотворительных фондов, указанных в их приложении.

20 мая в 10:35 эфир по Bugbounty на PHD'12.

Удобный шэринг папки с бб каналами и чатами.