Здравствуйте, дорогие друзья.

Программы Bug Bounty: все ли они такие же? Поиск подходящей программы для цели — это первый шаг к тому, чтобы стать успешным багхантером. Появилось много программ в течение последних нескольких лет, и трудно понять какие из них обеспечат лучшее денежное вознаграждение, опыт, возможность обучения.

Программа Bug Bounty — это инициатива, в рамках которой компания приглашает хакеров атаковать ее продукты и услуги. Но как выбрать программу?

И как Вы должны расставить приоритеты в их различных показателях, таких как участие в типах активности, независимо от того, размещена ли программа на платформе, является ли она общедоступной или приватной, объем программы, суммы выплат и время отклика?

В этом разделе мы рассмотрим типы программ вознаграждения за обнаружение ошибок, проанализируем преимущества и недостатки каждого типа.

Состояние отрасли

Bug bounty в настоящее время является одним из самых популярных способов для организаций, чтобы получать репорты об ошибках безопасности. Крупные корпорации, такие как PayPal и Facebook, а также государственные учреждения, такие как Министерство США обороны, все подхватили эту идею. Однако не так давно, сообщая об уязвимости перед компанией, охота за ошибками скорее привела бы Вас в тюрьму, чем получение награды.

В 1995 году Netscape запустила первую в истории программу вознаграждения за обнаружение ошибок.

Компания призвала пользователей сообщать об ошибках, обнаруженных в ее новом браузере, Netscape Navigator 2.0, представляющий идею краудсорсинговой безопасности тестирования в мире Интернета. Mozilla запустила очередную корпоративную программу Bug Bounty девять лет спустя, в 2004 году, и предлагала пользователям выявлять ошибки в браузере Фаерфокс.

Но только в 2010-х годах вознаграждение за обнаружение ошибок стало популярным. В том же году Google запустил свою программу, а Facebook последовал за ней в 2011 году. Эти две программы положили начало тенденции использования вознаграждений за обнаружение ошибок, для расширения внутренней инфраструктуры безопасности корпорации. По мере того, как вознаграждение за ошибки становилось все более известной стратегией, вознаграждение за ошибки как услуги, появились платформы. Эти платформы помогают компаниям создавать и управлять их программами. Например, они предоставляют компаниям место для размещения своих программ, и способа обработки вознаграждений и централизованное место общения с охотниками за ошибками.

Две крупнейшие из этих платформ, HackerOne и Bugcrowd, были запущены в 2012 году. После этого появилось еще несколько платформ, таких как Synack, Cobalt, и Intigriti, которые вышли на рынок. Эти платформы позволяют даже компаниям с ограниченными ресурсами запускать программу безопасности.

Сегодня крупные корпорации, небольшие стартапы, некоммерческие организации и агентства приняли вознаграждение за обнаружение ошибок в качестве дополнительной меры безопасности, и фундаментальную часть их политики безопасности. Вы можете прочитать больше об истории программ вознаграждения за обнаружение ошибок на https://en.wikipedia.org/wiki/Bug_bounty_program .

Термин программа безопасности обычно относится к политикам информационной безопасности, процедуры, руководящие принципы и стандарты в области более широкой информационной безопасности в промышленности. В этой книге я использую программу или программу вознаграждения за обнаружение ошибок, для обозначения операций по поиску ошибок. Сегодня существует множество программ, все со своими уникальными характеристиками, преимуществами и недостатками. Давайте рассмотрим это.

На этом все. Всем хорошего дня!

#1 Bug Bounty — Руководство по поиску веб-уязвимостей и сообщениям о них. Введение.