PornHub запускает публичную программу Bug Bounty

    image
    (Изображение — thenextweb.com)


    И это будет, пожалуй, самая интересная программа по поиску уязвимостей из всех существующих.


    BB запущена на hackerone, и судя по трекеру, программа уже работала в закрытом режиме в течение года, то есть, была доступна только некоторым опытным исследователям. Теперь же доступ открыт для всех.


    Да, теперь не нужно в панике закрывать браузер, когда когда кто-то подходит к твоему монитору: ты же ищешь уязвимости, вообще-то, да ещё и не просто так! Кстати, да, максимальная сумма выплаты — $25000 (минимум — $50). Очень круто, я считаю.


    Кристина решила начать карьеру в порноиндустрии, и проанализировав доходность всех возможных вариантов, начала с участия в bug bounty ПорнХаба.

    Условия программы довольно обычные


    • скоуп — http://*.pornhub.com/
    • принимаются только нормальные технические уязвимости (никакой социальной инженерии, никаких «вам бы HSTS, чтобы зашибись» и прочего шлака; правда, среди «шлака» — CSRF, ну ок)
    • не принимаются автоматические репорты от всяких утилит
    • ну и прочая стандартная ерунда

    В общем, если вам давно не хватало мотивации для участия в BB, — вот она!


    p.s.


    image

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 55

      +14
      Я б поискал.
        0
        В общем, если бы не специфика сайта, то «новости» не было
          +25
          Интересное событие — это всегда какое-то сочетание необычных фактов, стечение нетипичных обстоятельств. Рутина — не новость по определению.
          +47
          Интересно, а что могут сделать если их поломают? Разместят цензурную картинку на главной?
            +6

            Жестоко!

              +5
              Или вообще пройдутся по всей базе названий и описаний, и заменят все интересные слова на [РОСКОМНАДЗОР]. Вот где жесть была бы.
                0
                Я бы заменил весь контент на видео с котиками. Правда, не факт, что это даст сильно отрицательный эффект…
                  +4
                  кукурузу там уже размещали
                  image
                    0

                    del

                      0
                      Не в счёт, заменили только превьюшки, видео были обычными.
                        0
                          0
                          Категории порадовали)
                          +1
                          Нет, видео были тоже о кукурузе полностью, лично проверял
                            +1
                            Придётся вам поверить, ибо я лично не проверял )
                              0
                              На youtube.com в поиске наберите Cornhub.
                          0
                          Ну это не считается — это на первое апреля было. Я помню ещё на следующий день кукурузу купил
                    0
                    Украсть персональные данные пользователей? Там же наверняка есть и система регистрации\логина, и какое-нибудь дополнительное монетизирование?
                      +2
                      Там вроде есть платные подписки, если не ошибаюсь. А это платежные и персональные данные. Некоторую долю подписчиков еще и шантажировать можно.
                        0
                        Шантажировать? Ха-ха.
                      • UFO just landed and posted this here
                        +45
                        *шутка про double penetration testing*
                          +3
                          **чутье не подвело — этот коммент уже здесь присутствует**
                            +2
                            *тонкая шутка про половинную точность и роскомнадзор*
                              +1
                              *Коммент про не все знают шутку расскажите же*
                              +24
                              Дорогая, я просто уязвимости искал!
                                +4

                                А выплачивать будут деньгами или натурой?

                                  +13
                                  Контентом
                                    +3
                                    "@#й вам за уязвимость, а не деньги"
                                    +1
                                    Тому кто найдет больше багов — покажут мультик!
                                    +11
                                    Я так понимаю, баг-репорты отправляются DeepBunnyHole?)
                                      +2
                                      Тепер искать баги с удовольствием.
                                        +2
                                        Путь воспроизведения:
                                        1. Перейти в раздел boobs
                                        2. Запустить видео справа снизу, на котором тетки с большой грудью разбивают арбуз
                                        3. на 15-ой минуте всплывает дефект

                                          +7
                                          Путь воспроизведения

                                          Там весь сайт для воспроизведения… >_<

                                          0
                                            +5
                                            В итоге дилемма: смотреть пожизненно премиум порно и закрытые клипы всяких amateur или заработать пару несчастных бумажек…
                                              0
                                              Далеко не факт, что пожизненно. Уязвимость могут и закрыть, а на бумажки всегда можно купить подписку
                                              0
                                              Это не то, что ты подумала… нет, я правда работаю…

                                              Вспоминается история про чувака, работавшего проверяльщиком роликов в ютубе (до того, как это научились делать машины)
                                                +6
                                                Ой, надо помочь, а то вскроют сайт и порнуху какую-нибудь зальют)
                                                  +12
                                                  спасибо, поискал
                                                    +1
                                                    Это уже не баги, это какие-то #$%^&вошки!
                                                      +1
                                                      Так совпало, что когда я озвучил название новости вслух, один из наших тестировщиков (он меня не слышал) произнес: «отлучусь на часик», и ушел. Хм…
                                                        +2
                                                        Потестировать парню захотелось, что тут такого. Пойдёт, по тестирует немного, и вернётся. Со всеми бывает.
                                                          0
                                                          Логично, в конце концов новая багбаунти программа, чего бы и не потестировать, раз так дела обстоят…
                                                        +14
                                                        Есть видео, где ее эксплуатируют?
                                                          +4
                                                          а жук то у них какой в новости!
                                                            +1
                                                            А контекстная реклама после «поиска багов» будет на какую тематику?
                                                              +2
                                                              Мне кажется что должны выплачивать в двойном размере за «вредность». Кровь из мозга перемещается в другой орган пониже и думать становится всё тяжелее. :)
                                                                0
                                                                Ну уж не за полезность — это точно )
                                                                0
                                                                программа уже работала в закрытом режиме и была доступна только некоторым опытным исследователям

                                                                особо отличившимся пользователям что-ли?
                                                                  +1
                                                                  Если вы серьёзно спрашиваете, то на платформе H1 есть как открытые BB, так и закрытые. Закрытые доступны только некоторым участникам, у которых уже есть определённый уровень репутации, то есть, они до этого уже много и успешно репортили. Есть программы, в которые вообще только лично приглашают. Это позволяет значительно повысить показатель качество/количество, который у открытых программ часто низок из-за шума, создаваемого всякого рода «индусами» и прочими скрипткиддисами.
                                                                  0

                                                                  А они уже перестали ограничивать пароли буквами и цифрами, а также высылать пароли в открытом виде?


                                                                  Или это тоже — "шлак"?

                                                                    0
                                                                    Там даже information disclosure (учитывая специфику) вне скоупа, так что думаю — да. Но вы можете проверить.
                                                                    +1
                                                                    Все тестируют. А кто говорит, что не тестирует — тестирует больше всех.
                                                                    • UFO just landed and posted this here
                                                                        0
                                                                        Но затыкать их будешь не ты (

                                                                      Only users with full accounts can post comments. Log in, please.