#4 Bug Bounty. Платформы Bug Bounty.
Здравствуйте, дорогие друзья.
Компании могут размещать программы вознаграждения за обнаружение ошибок двумя способами: платформами вознаграждения за обнаружение ошибок и независимо размещенными на веб-сайтах.
Платформы Bug Bounty — это веб-сайты, через которые многие компании размещают свои программы. Обычно платформа напрямую награждает хакеров репутацией, баллами и деньгами за их результаты. Одни из самых больших наград за ошибки являются у платформ HackerOne, Bugcrowd, Intigriti, Synack и Cobalt.
Платформы Bug Bounty — посредник между хакерами и командой безопасности. Они предоставляют компаниям логистическую помощь для таких задач, как оплата и связь. Они также часто предлагают помощь в управлении входящими отчетами путем фильтрации, дедупликации и сортировки отчетов об ошибках для компании. Наконец, эти платформы предоставляют компаниям возможность оценить уровень навыков хакера, с помощью хакерской статистики и репутации. Это позволяет компаниям которые не хотят, чтобы их завалили некачественными отчетами, приглашать опытных хакеров в свои частные программы. Некоторые из этих платформ также проверяют или опрашивают хакеров, прежде чем разрешить им взламывать программы.
С точки зрения хакера, платформы Bug Bounty обеспечивают централизованное место для отправки отчетов. Они также предлагают простой способ получить признание и оплату за найденные баги.
С другой стороны, многие организации размещают и управляют своими ошибками, баунти-программами без помощи платформ. Такие компании, как Google, Facebook, Apple и Medium делают это. Вы можете найти их политику вознаграждения за ошибки, посетив их веб-сайты или выполнив поиск «CompanyName bug bounty programm» онлайн.
Как охотник за ошибками, должны ли Вы взламывать платформу для поиска ошибок? Или же стоит ли Вам выбирать независимые программы компаний?
Плюсы. . .
Лучшее в платформах Bug Bounty — это то, что они предоставляют прозрачность процессов компании, потому что публикуют открытые отчеты, метрики о ставках сортировки программ, суммах выплат и ответах. Независимые программы часто лишены такой прозрачности.
В мире баг-баунти, сортировка относится к подтверждению уязвимости. Вам также не придется беспокоиться о логистике безопасности электронной почты, отслеживая отчеты и предоставляя платежную и налоговую информацию каждый раз, когда Вы отправляете отчет об уязвимости. Программы Bug Bounty также часто имеют системы репутации, которые позволяют Вам продемонстрировать свой опыт, чтобы Вы могли получить доступ к программам вознаграждения за обнаружение ошибок только по приглашению.
Еще один плюс платформ Bug Bounty заключается в том, что они часто вмешиваются, чтобы предоставить разрешение конфликтов и правовую защиту, в качестве третьего лица. Если Вы отправляете отчет к неплатформенной программе, Вы не имеете права прибегать к окончательному решению о вознаграждении. В конечном счете, Вы не всегда можете ожидать, что компании будут платить или разрешать отчеты в кратчайшие сроки, но система обратной связи между хакерами – это то, что предоставляют платформы, является полезным.
. . . и минусы
Однако некоторые хакеры избегают платформ Bug Bounty, потому что им не нравится, как эти платформы обрабатывают отчеты. Отчеты, отправленные на платформу программы вознаграждения за ошибки часто обрабатываются триагерами, сторонними сотрудниками, которые часто не знакомы со всеми деталями безопасности о продуктах компании. Жалобы на неправильную обработку отчетов триагерами обычные.
Программы на платформах также разрывают прямую связь между хакерами и разработчиками. С прямой программой часто приходится обсуждать уязвимость, с инженерами по безопасности компании.
Наконец, общедоступные программы на платформах Bug Bounty часто бывают переполнены, потому что платформа дает им дополнительную экспозицию. С другой стороны, многие программы, размещенные в частном порядке, не привлекают столько внимания со стороны хакеров и поэтому менее конкурентоспособны. И для многих компаний, которые не заключают договор с платформами Bug Bounty, у Вас нет другого выбора, кроме как уйти с платформ, если Вы хотите участвовать в таких программах.
На этом все. Всем хорошего дня!
#1 Bug Bounty — Руководство по поиску веб-уязвимостей и сообщениям о них. Введение.