Pull to refresh
  • by relevance
  • by date
  • by rating

Специалист заработал 2 млн $ на Hacker One

Information Security *IT career History of IT


23 декабря 2020 года сообщество HackerOne объявило о появлении первого этичного хакера, который заработал на платформе $2 млн. Им стал румынский ИБ-специалист под ником inhibitor181. Среди его находок есть множество уязвимостей в Dropbox, PayPal, Spotify, Facebook, TikTok, AT&T, Twitter, Uber, GitHub и даже в системах Министерства обороны США.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 4.3K
Comments 0

HackerOne будет платить за нахождение уязвимостей в открытом ПО

Information Security *Open source *Software IT-companies


21 сентября 2021 года сообщество HackerOne объявило о запуске программы поиска уязвимостей в проектах с открытым ПО. Она будет входить внутрь текущей программы платформы под названием Internet Bug Bounty.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 1.2K
Comments 2

Positive Technologies запустит в России аналог платформы HackerOne

Information Security *IT systems testing *Web services testing *Software IT-companies


По информации издания «Коммерсантъ», компания в сфере безопасности Positive Technologies запустит в России аналог платформы для получения вознаграждения за поиски уязвимостей в ПО и IT-системах HackerOne.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 2K
Comments 1

Mail.Ru Group объявляет о старте программы поиска уязвимостей

VK corporate blog Information Security *
Мы уверены, что обратная связь — один из главных способов делать сервисы не только удобнее, но и безопаснее. Если хочешь, чтобы защита была по-настоящему эффективной, — дай проверить ее на прочность исследователям.

Mail.Ru Group объявляет о старте программы поиска уязвимостей: теперь мы будем выплачивать награды за обнаружение проблем в безопасности наших проектов. Программа будет реализовываться вместе с одним из самых авторитетных в мире хакерских коммьюнити HackerOne.



Читать дальше →
Total votes 107: ↑90 and ↓17 +73
Views 31K
Comments 45

Месяц поиска уязвимостей: как мы к нему готовились и как его пережили

VK corporate blog Information Security *IT systems testing *


21 апреля совместно с Hacker One мы запустили программу поиска уязвимостей. 20 мая завершился конкурс, ставший первым шагом этой программы. Сегодня мы хотим рассказать, как мы укрепляли нашу оборону, готовясь к конкурсу, как исследователи искали в ней бреши и что они помогли нам найти.
Читать дальше →
Total votes 92: ↑75 and ↓17 +58
Views 22K
Comments 26

Иван Григоров: «Для топовых багхантеров $25К в месяц — не проблема»

VK corporate blog Information Security *Web services testing *


Программы поиска уязвимостей всегда привлекают немало внимания со стороны хакеров и специалистов по безопасности. Ведь это легальный способ неплохо зарабатывать одними только поисками багов (при условии, что есть хороший опыт и голова на плечах). На днях нам представилась возможность взять интервью у багхантера Ивана reactors08 Григорова. Он лидер нашей программы Bug Bounty и занимает 11-е место в общем рейтинге платформы HackerOne.

Как начать искать баги? Может ли это быть единственным источником дохода? В каких Bug Bounty участвовать? Сколько зарабатывают багхантеры? И почему поиском уязвимостей особенно выгодно заниматься в кризис? Ответы на эти и другие вопросы читайте в нашем интервью.
Читать дальше →
Total votes 69: ↑62 and ↓7 +55
Views 86K
Comments 22

Лучшие белые хакеры зарабатывают в 2,7 раза больше средних программистов

Information Security *Research and forecasts in IT Studying in IT IT career
Сообщество HackerOne, на котором зарегистрировано более 160 000 хакеров и которое выплатило им уже $23,5 млн за найденные уязвимости, опубликовало отчёт The 2018 Hacker Report. Это крупнейший в истории опрос этичных хакеров, в котором приняло участие 1698 респондентов. Вместе с результатами приведена интересная статистика.

Ключевые результаты:

  • Награды за найденные баги обеспечивают достойную жизнь топовым хакерам. В среднем по всем странам мира разница в «зарплате» топового хакера и средней по медиане зарплатой программиста составляет 2,7 раза, но в разных странах ситуация отличается. Например, в Индии разница достигает 16х, в Аргентине — 15,6х, в Латвии — 5,2х, в США — 2,7х, по России статистики зарплат не нашлось.
  • Деньги не являются самой главной мотивацией этических хакеров, это лишь четвёртая по популярности (13,1%) причина работы взломщиков. Для большего количества хакеров важнее возможность изучения технологий и хитростей работы (14,7%), возможность решать интересные задачи (14%) и получать удовольствие (14%). Хотя ещё в 2016 году деньги были причиной № 1.
  • Индия (23,3%) и США (19,9%) — два мировых лидера по количеству зарегистрированных хакеров. За ними следуют Россия (6,3%), Пакистан (4%) и Великобритания (4%).
Читать дальше →
Total votes 29: ↑22 and ↓7 +15
Views 27K
Comments 24

Вознаграждаем за уязвимости четвёртый год подряд

VK corporate blog Information Security *

Специалисты в IT-безопасности, которые умеют находить уязвимости и эксплуатировать их, всегда стоят перед выбором — что, в итоге, с этими знаниями и умениями делать? И надо признать, что довольно большое количество таких специалистов выбирает путь ответственного раскрытия информации о найденных проблемах и уязвимостях. Именно с такими людьми компании должны уметь и хотеть взаимодействовать. Речь идет о Bug Bounty — объявляемых компаниями программах поиска уязвимостей в их продуктах и сервисах за денежное вознаграждение.
Читать дальше →
Total votes 38: ↑36 and ↓2 +34
Views 9.4K
Comments 3

Как багхантеры перехватывали письма в пневмопочте на ZeroNights

VK corporate blog Information Security *


Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. А сегодня, на примере недавно прошедшей конференции по информационной безопасности ZeroNights, мы расскажем о том, каким образом можно привлекать хакеров к участию в поиске багов и уязвимостей через профильные мероприятия.
Total votes 37: ↑33 and ↓4 +29
Views 7K
Comments 1

Уязвимости GeekBrains: Зачем платить деньги за курсы если их можно просто скачать?

Information Security *Web services testing *
Sandbox


Небольшой сказ о маленькой погрешности, с помощью которой был получен доступ ко всем платным курсам и домашним заданиям на ресурсах. А так же немного о других найденных уязвимостях.

Читать дальше →
Total votes 61: ↑56 and ↓5 +51
Views 52K
Comments 25

Охота за ошибками, Blind-XSS и лисьи хитрости

Information Security *Website development *Web services testing *

Лисы знают толк в охоте :)

Многие наверняка уже слышали о BugBounty, поиске уязвимостей с вознаграждениями и сопутствующих историях об этом. Я, как один из «охотников за ошибками», начал свой путь чуть больше года назад на площадке HackerOne. За это время мне удалось многое узнать о различных видах уязвимостей, получить много опыта и теперь мне хотелось бы поделиться этим с сообществом.

В этой статье я хочу рассказать о таком типе уязвимостей, как Blind Cross-site Scripting или слепой хранимый межсайтовый скриптинг, если переводить на русский. Приглашаю под кат, если вас интересуют подобные темы или вы желаете улучшить безопасность своего приложения.
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 4.9K
Comments 0

Как начать заниматься Bug Bounty

OTUS corporate blog Information Security *
Translation
Друзья, в этом месяце Otus запускает набор на новый курс — «Безопасность приложений». В преддверии старта курса традиционно подготовили для вас перевод полезного материала.




Как начать заниматься Bug Bounty? Этот вопрос весьма распространенный, и я продолжаю получать его в сообщениях день ото дня. Я не могу ответить на каждое сообщение, поэтому решил написать статью и отправлять всех новичков читать ее.

Я занимаюсь Bug Bounty уже пять лет. Тем не менее, есть множество вещей, которых я не знаю, да и сам я не эксперт, поэтому прошу не считать эту статью советом от эксперта. Я просто поделюсь тем, чего достиг за последние 5 лет, совершенствуя свои навыки день ото дня.
Total votes 14: ↑13 and ↓1 +12
Views 14K
Comments 6

Охота за уязвимостями на 7% эффективнее

Information Security *Legislation in IT Finance in IT
«За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc

С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). К тому моменту я уже слышал об упрощенке для ИП и решил провести ресерч, чтобы понять как я могу уменьшить сумму налога законными способами.

В этом посте я хочу рассказать историю успехов и фейлов, а также поделиться своим опытом, чтобы облегчить жизнь тем, кто хочет пройти похожий путь и показать новые возможности для тех, кто пока не задумывался на тему налогов и баг баунти.

image
Читать дальше →
Total votes 34: ↑32 and ↓2 +30
Views 9.8K
Comments 52

Фирмы используют баг-баунти, чтобы купить молчание хакеров

Дата-центр «Миран» corporate blog Information Security *Community management *Legislation in IT IT-companies


Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая:

  1. Хакер сообщает о найденной уязвимости.
  2. Компания-разработчик исправляет баг и перечисляет хакеру вознаграждение в качестве благодарности за то, что он поступил правильно.

Но в реальности всё работает иначе. Как показало расследование CSO, компании и платформы баг-баунти настолько перевернули раскрытие уязвимостей с ног на голову, что многие эксперты, включая бывшего директора по политике HackerOne Кэти Муссури, называют это «извращением».
Total votes 28: ↑26 and ↓2 +24
Views 15K
Comments 36

Bug bounty Ozon: вопросы и ответы

Ozon Tech corporate blog Information Security *
Recovery mode
image

Мы запустили публичную bug bounty программу на HackerOne — теперь за найденные на сайте Ozon уязвимости можно получить вознаграждение, а заодно помочь компании, сервисом которой пользуются друзья, знакомые и родственники. В этой статье команда информационной безопасности Ozon отвечает на самые популярные вопросы о программе.
Читать дальше →
Total votes 13: ↑10 and ↓3 +7
Views 5K
Comments 25

Web Security by Bugbounty

OTUS corporate blog Information Security *Web services testing *

Идея заключается в следующем — подготовить лабораторный стенд для изучения уязвимостей, находящихся в данном топе. О том, как запустить и найти пример приложения с уязвимостью, можно почитать вот здесь. Задания будут решены до момента использования уязвимости, которая заложена в приложение, последний шаг оставим за читателями.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 2.6K
Comments 0

Bug Bounty для начинающих: краткий обзор популярных маркетплейсов и программ

R-Vision corporate blog Information Security *

Никого не удивишь тем фактом, что дыры в программном обеспечении могут обернуться серьезными убытками для использующих его компаний. Случиться может многое — от утечки информации до приостановки работы организации.

Конечно, внутри компаний есть (или должны быть) специально обученные люди, занимающиеся поиском уязвимостей. Но объем таких работ огромен, и увеличивается он ежедневно. Что можно предпринять? Найти нужные «рабочие руки» — всех желающих, кто хочет и может этим заняться, причем за вознаграждение. Так возникла идея Bug Bounty — открытой краудсорсинговой альтернативы внутренней ИБ-службе, реализованной как своего рода мегаконкурс по поиску уязвимостей в программах компаний (разумеется, все это не за бесплатно, хотя есть исключения).

Увы, джентльменам не верят на слово в современном мире, а потому, если вы решили попробовать заработать на bug hunting, придется соблюдать правила игры. В статье я попытаюсь очертить круг возможностей «охотников за ошибками» и расскажу о вариантах участия в программах вознаграждения за найденные ошибки: сторонних платформах Bug Bounty (marketplaces) и программах, спонсируемых компаниями.

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views 5.2K
Comments 0