Bug Bounty, Bug Bounty Bootcamp, Bug Hunting

#5 Bug Bounty. Скоуп, выплаты и время отклика.

Здравствуйте, дорогие друзья.

Какие еще показатели следует учитывать при выборе программы, помимо его типа активов и платформы? На каждой странице программы Bug Bounty часто перечислены метрики, чтобы помочь Вам оценить программу. Эти показатели дают представление, насколько легко Вы сможете найти ошибки, сколько Вы можете получить денег, и насколько хорошо работает программа.

Объем (скоуп) программы

Во-первых, учитывайте масштаб. Область действия программы на ее страницах политики указывает, что и как Вам разрешено взламывать. Существует два типа областей скоупа: актив и уязвимость. Область активов сообщает Вам, какие субдомены, продукты и приложения Вы можете взломать. И область уязвимости указывает, какие уязвимости компания примет как действительные ошибки.

Например, компания может перечислить поддомены своего веб-сайта, которые входят и выходят за рамки:

Охватываемые активы:

a.example.com

b.example.com

c.example.com

users.example.com

landing.example.com

Активы, не входящие в сферу охвата:

dev.example.com

test.example.com

Активы, перечисленные в области действия, — это те, которые Вам разрешено использовать и взламывать. С другой стороны, активы, перечисленные как выходящие за рамки, запрещены для охотников за ошибками. Будьте предельно осторожны и соблюдайте правила! Взлом актива вне сферы действия является незаконным.

Компания также часто перечисляет уязвимости, которые считает действительными ошибками:

Уязвимости в области применения:

Все, кроме тех, которые указаны как выходящие за рамки

Уязвимости вне области видимости:

Self-XSS

Clickjacking

Отсутствующие заголовки HTTP и другие лучшие практики без прямого влияния на безопасность

Атаки отказа в обслуживании

Использование известных уязвимых библиотек без доказательства пригодности к эксплуатации

Результаты автоматических сканеров, без доказательств пригодности к эксплуатации

Уязвимости вне области видимости, которые Вы видите в этом примере, являются типичными, для того, что Вы найдете в программах вознаграждения за ошибки. Обратите внимание, что многие программы рассматривают неэксплуатируемые проблемы, такие как нарушение передовой практики, за пределами сферы.

Любая программа с большими объемами ресурсов и уязвимостей является хорошим местом для старта новичка. Чем больше объем актива, тем больше количество целевых приложений и веб-страниц, которые Вы можете просматривать. Когда программа имеет большой актив, Вы часто можете найти малоизвестные приложения, которые упускаются из виду других хакеров. Обычно это означает меньшую конкуренцию при сообщении об ошибках.

Чем больше область уязвимости, тем больше типов ошибок организация готова увидеть в отчетах. В этих программах намного проще найти ошибки, потому что у Вас больше возможностей, и поэтому Вы можете играть в свою сильную сторону.

Суммы выплат

Следующая метрика, которую Вы должны учитывать, — это суммы выплат по программе. Там существуют два типа платежных программ: программы раскрытия уязвимостей (VDP), и программы вознаграждения за ошибки.

VDP — это программы только для репутации, то есть они не платят за результаты, но часто предлагают награды, такие как очки репутации и добычу. Это отличный способ узнать о взломе, если зарабатывание денег не является Вашей основной задачей. Поскольку они не платят, они менее конкурентоспособны, и поэтому в них легче найти ошибки. Вы можете использовать их, чтобы попрактиковаться в поиске распространенных уязвимостей, и общении с инженерами по безопасности.

С другой стороны, программы поощрения за обнаружение ошибок предлагают разное количество денежных средств. Как правило, чем серьезнее уязвимость, тем больше за отчет будут платить. Но разные программы имеют разные выплаты, средние значения для каждого уровня сложности. Вы можете найти информацию о выплатах программы на своих страницах вознаграждений за ошибки, обычно перечисленных в разделе, называемом выплатой таблицей выплат. Как правило, за проблемы с низким уровнем воздействия будут платить от 50 до 500 долларов США, в то время как критические проблемы могут стоить более 10 000 долларов. Тем не менее, награды за ошибку, и суммы выплат увеличиваются для высокоэффективных ошибок. Например, Apple теперь вознаграждает до 1 миллиона долларов за самые серьезные уязвимости.

Время отклика

Наконец, рассмотрим среднее время отклика программы. Некоторые компании будут обрабатывать и разрешать Ваши отчеты в течение нескольких дней, в то время как другие требуют недель или даже месяцы, чтобы доработать свои исправления. Задержки часто случаются из-за внутренних ограничений службы безопасности, такие как нехватка персонала для обработки отчетов, задержки с выпуском исправлений безопасности и нехватки средств для своевременной награды исследователей. Иногда задержки происходят из-за того, что исследователи отправляют плохие отчеты, без четких шагов воспроизведения.

Отдайте предпочтение программам, с быстрым временем отклика. Ожидание ответов от компаний может быть разочаровывающим опытом, и когда Вы впервые начинаете, то можете совершишь много ошибок. Вы можете неверно оценить серьезность ошибки, написать непонятное объяснение или допустить технические ошибки в отчете. Быстрая обратная связь от групп безопасности поможет Вам улучшить и превратить Вас в компетентного хакера быстрее.

На этом все. Всем хорошего дня!

#1 Bug Bounty — Руководство по поиску веб-уязвимостей и сообщениям о них. Введение.

#2 Bug Bounty. Выбор программы Bug Bounty.

#3 Bug Bounty. Типы активов в Bug Bounty.

#4 Bug Bounty. Платформы Bug Bounty.