Платформы "багбаунти" и для чего они нужны

[AmperVolt]

Меня всегда забавляют смехотворные суммы наград в багбаунти. Ведь по сути, хакер указывает на погрешности при создании софта, в разработку которого были вложены сотни тысяч, и к тому же прикрывает жопу компании от возможных и порой весьма затратных проблем в будущем......Рынок надо менять. Награда за серьёзную уязвимость должна исчисляться десятками тысяч, тогда и весомая часть специалистов даже не будет смотреть в сторону блэка.

 

[Gorg]

меньше чем за 2к$ нормальный специалист работать не должен. сисадмины получают по 1.5k$!
а работа хакера требует гораздо больше знаний и выматывает как секс.

Меня всегда забавляют смехотворные суммы наград в багбаунти.

Полностью согласен!
Вот например какой-то инженеришкО фейсбука за 1 год заработал там 229к
А тут требуется серьёзная работа, исследование, потом ещё оформить всё это в читабельный отчёт, а в конце могут либо заплатить копеечные суммы, либо вообще прокинуть залупу на воротник как это было уже и не раз, люди описывали серьёзные баги, а в ответ получали - это не баг, а фича...

 

[NoNamePyth]

я кажется понимаю, в чем проблема, эта регулярка заточена под наши белорусские номера, у нас номер включает в себя 12 цифр

разве номера РБ с +1 начинаются? Ну бог с ним с номером,я лично не проверял но как мне передали там ещё и паспорт требуют? Если это действительно так,то зачем? Чтоб эффективнее сажать на бутылку? или чо?

 

[sfss]

фсб разбаловало российский бизнес. считают что можно положить на инфобез, так как фсб всех поймает и всегда прикроет.
нужен нормальный жирный инцидент, такой чтобы все зассали.
но это выгодно только вайтхатам.
блэкхаты любят тишину))) наивная самоуверенность коммерсов им выгодна.

 

[NoNamePyth]

фсб разбаловало российский бизнес. считают что можно положить на инфобез, так как фсб всех поймает и всегда прикроет.
нужен нормальный жирный инцидент, такой чтобы все зассали.
но это выгодно только вайтхатам.
блэкхаты любят тишину))) наивная самоуверенность коммерсов им выгодна.

Какая разница если суть одна,что белые что чёрные работали по двум фронтам, абсолютно все, лютые чернушники в 95% случаев побывали на бутылке (а обычные макрушники никого не интресуют,так как расследование стоит больше чем раскрытие преступления). Ребята которые работают без проблем тесно связаны с тем же самым ФСБ,да добрая часть ИБ форумов под ними ходит.
Это моё личное мнение конечно,но чтоб все "зассали" нужно работать сразу всем в один день,в один час над огромными платформами,но с другой стороны не так давно CozyBear поимело дядю Сэма,а чё толку? ни чего не изменилось

 

[AgatCyber]

Это странно, но я не могу пройти регистрацию на этом сайте, мой номер телефона не пропускает. Я пробовал различные варианты, все тщетно. Останусь без мнения о платформе.

добрый день. это действительно странно. с номером телефона там всё ок кстати - он прошёл успешно. не пройден, насколько мы видим, второй этап регистрации - где необходимо верифицировать аккаунт путем приложения документа, подтверждающего личность, или же отказаться от верификации. Так что просто завершите регистрацию! но возможно еще дело в том, что необходимо немножко напрячься и применить специальные познания, чтобы отыскать нужный код....который умышленно спрятан от посторонних глаз, но не так чтобы слишком)) Это наша своеобразная первичная проверка скилла.

 

[AgatCyber]

Я так понял(не уверен) ты как то связан с этой платформой,но тогда я не могу понять смысла регулярки под номер +1 , зачем вообще?

ну я немного с ней связан, потому что я её владелец)
по поводу телефона можете не париться вообще - и вводить любое допустимое значение (да - в белорусском формате). ящик почты - это жёсткий параметр, он должен быть реальным. в том числе, нужно его подтвердить по ссылке.
а что касается телефона...ну можно было бы иногда созвониться и за жизнь перетереть)))

 

[AgatCyber]

Какая разница если суть одна,что белые что чёрные работали по двум фронтам, абсолютно все, лютые чернушники в 95% случаев побывали на бутылке (а обычные макрушники никого не интресуют,так как расследование стоит больше чем раскрытие преступления). Ребята которые работают без проблем тесно связаны с тем же самым ФСБ,да добрая часть ИБ форумов под ними ходит.
Это моё личное мнение конечно,но чтоб все "зассали" нужно работать сразу всем в один день,в один час над огромными платформами,но с другой стороны не так давно CozyBear поимело дядю Сэма,а чё толку? ни чего не изменилось

не торопитесь, ребята. процесс обращения внимания на ИБ - необратимый. нет другого пути. уже входит - и скоро окончательно понимание важности цифровой гигиены войдет в жизнь всех без исключения

 

[AgatCyber]

Что дальше с этими баллами? Они не монетизируются? Что, работа за идею белых шляп?)))

баллы в период работы Платформы в рамках тестирования бета-версии дают возможность быстренько перейти в следующую репутационную группу. всего три группы: 1-100; 101 - 500; 501+. Каждая группа обладает своими правами и привилегиями. В стандартном режиме работы за каждый тест (успешный) начисляется +1 к репутации. Сейчас за каждый тест сразу +5 или +10.
В дальнейшем монетизация стандартная - цену определяет Заказчик, Платформа просто получает свой некосмический процент от сделки.

 

[AgatCyber]

разве номера РБ с +1 начинаются? Ну бог с ним с номером,я лично не проверял но как мне передали там ещё и паспорт требуют? Если это действительно так,то зачем? Чтоб эффективнее сажать на бутылку? или ч

 

[AgatCyber]

разве номера РБ с +1 начинаются? Ну бог с ним с номером,я лично не проверял но как мне передали там ещё и паспорт требуют? Если это действительно так,то зачем? Чтоб эффективнее сажать на бутылку? или чо?

Паспорт лично нам нафиг не нужен! Но иногда Клиенты предпочитают работать с верифицированными пентестерами, то если личность которых подтверждена администрацией Платформы. По каждому аккаунту имеется отметка о том, верифицирован контакт или нет. Мы не принуждаем паспорт грузить! Это на ваше усмотрение - а потом Клиент решает, с кем ему работать. Ну как бы! Кто ж против таких запросов рынка попрёт...стараемся по мере возможностей удовлетворить все стороны...

 

[AgatCyber]

Меня всегда забавляют смехотворные суммы наград в багбаунти. Ведь по сути, хакер указывает на погрешности при создании софта, в разработку которого были вложены сотни тысяч, и к тому же прикрывает жопу компании от возможных и порой весьма затратных проблем в будущем......Рынок надо менять. Награда за серьёзную уязвимость должна исчисляться десятками тысяч, тогда и весомая часть специалистов даже не будет смотреть в сторону блэка.

С такими запросами вам на Багкрауд или Хакерван. Там есть уязвимости и по 10 тыщ баксов за штуку. Но скажем прямо, там реально надо высочайший скилл. Некоторые наши ребята пытались там добиться правды - и через месяц сдались. На то, на что у наших самородков уходить неделя, гуру Хакервана тратят полтора часа. Фиг знает уж, какие связки скриптов они там понавыдумывали, но факт остаётся фактом: тут еще скан не закончился, а там уже отчёт выкатили местные...
Ну а если уязвимости ПО могут привести, например, к подрыву авианосца, то за них и 500 тыщ баксов недорого будет запросить. Ищите! Никто ж не останавливает))

 

[AgatCyber]

Полностью согласен!
Вот например какой-то инженеришкО фейсбука за 1 год заработал там 229к
А тут требуется серьёзная работа, исследование, потом ещё оформить всё это в читабельный отчёт, а в конце могут либо заплатить копеечные суммы, либо вообще прокинуть залупу на воротник как это было уже и не раз, люди описывали серьёзные баги, а в ответ получали - это не баг, а фича...

Да. Такая проблема (по поводу того, что тестировщика, потратившего время и душу, по итогу прокинет заказчик) существует и актуальна. В настоящее время в рамках бета-версии нашей Платформы монетизация вынесена за кадр. Но мы работаем над тем, чтобы в альфа-версии была реализована следующая фича: Заказчик при размещении Заказа вначале осуществляет взнос базового депозита в 100 баксов на счет Платформы. А потом размещает заказ на эти минимальные сто баксов. Если по заказу предоставлен отчет и он нормальный вполне, но Заказчик начинает люто тупить и затягивать ручник - то по решению администрации Платформы такой спор заканчивается в интересах Исполнителя (ну мы конечно сами предварительно просмотрим отчет чтобы понять что он зашибись), деньги переводятся со СЧЕТА ПЛАТФОРМЫ НА СЧЕТ ИСПОЛНИТЕЛЯ, а Заказчик со своими претензиями обращается в Гаагу или куда там еще ему вздумается...
Как-то так.

 

[PazaXaN]

Как я понял, ваша платформа будет ориентирована в основном на СНГ. Вам не кажется, что если буржуйские компании в основном выплачивают 100—1000$ за уязвимости, то наши компании за 100$ удавятся. Тестировать же за интерес, карму или медальки не каждый захочет. Как писалось выше, все хотят кушать.

 

[AgatCyber]

Как я понял, ваша платформа будет ориентирована в основном на СНГ. Вам не кажется, что если буржуйские компании в основном выплачивают 100—1000$ за уязвимости, то наши компании за 100$ удавятся. Тестировать же за интерес, карму или медальки не каждый захочет. Как писалось выше, все хотят кушать.

На самом деле мы ориентированы куда угодно) просто привычнее нам конечно русскоговорящие исполнители - и мы чувствуем в них больше потенциала)
Что касается расценок по уязвимостям - в настоящее время размещены заказы от Протонмэйла и Мозиллы. Тут мы вообще выступаем сугубо посредником и можем помочь с составлением толкового отчёта и с переводом его на английский язык, не претендуя ни на какую часть вознаграждения вообще: нас интересует поднятие рейтинга Платформы в глазах мировой общественности и крупных вендоров. Поэтому предложение более чем справедливое. А сколько конкретно та же Мозилла или Протонмэйл готовы платить - мы даже примерно не в курсе, у них свои расценки, но они же явно не СНГшные.