Багбанути площадка не покупатель багов, а некий мост между компаниями и IT-сообществом. В совокупности получается более выгодный и эффективный механизм по обеспечению высокого уровня безопасности информационных систем и ресурсов. Багхантеры получают деньги и славу, компании - безопасность.
Людям, которые "сдают" баги в даркнет по большей части все равно есть там багбаунти или нет, они выбрали свой путь. Многие отлично стреляют в тире, но лишь единицы идут в наемные убийцы, если брать Вашу аналогию.
Багхантер, выбирающий ту или иную программу оценивает ее по своим критериям. Большинство багхантеров довольны существующими выплатами и программами.
Что безопасность - это дешево (зачем платить пентестеру 10X за негарантированный результат, когда можно заплатить за подтвержденный баг Х или сколько захочешь)
пентест != багбаунти
Что люди должны приносить уязвимости в Bug Bounty, когда их нашли, и отдавать за те деньги, которые указаны в программе
что мешает бездомным купит себе дома и перестать таковыми быть?
Bug Bounty - хороший инструмент при правильном применении. Безопасность - это дорого, и убеждая кого-то, что можно сделать ее более дешевой, можно случайно создать ситуацию, когда за кучу красивых футболок будет собрана информация о некритичных проблемах, а в то же время критичные уязвимости продаются за существенные деньги, но уже даже не компании.
По своему опыту могу сказать что в даркнете ее еще надо найти кому продать, а багбаунти легальный и легитимный способ "обналичить" баги и спать спокойно.
Это не киберполигон, это стенд и среда мониторинга к нему. Киберполигон это как минимум связная архитектура, а не одинокий сервер/сервис. В качестве готового примера - вот https://github.com/Orange-Cyberdefense/GOAD. В качестве средств аналитики/мониторинга попробуйте либо HELK (немного устаревший), либо комбайн на базе Kali Purple.
Много комментариев про благотворительность - подтверждаю, Тиньков Банк, в рамках своей bug bounty программы, по просьбе багхантера на площадке bugbounty.ru , перечислил денежные средства в благотворительный фонд: https://t.me/bugbountyru_chat/1832
Круто осознавать, что наша платформа не только помогает компаниям находить уязвимости, но и становится проводником добрых дел. Не так давно один из исследователей bugbounty.ru помог Тинькофф выявить уязвимость в их сервисе, что позволило оперативно её закрыть и повысить безопасность обслуживания клиентов. В качестве поощрения Тинькофф по своей программе bug bounty выделяет бонусы багхантерам, при этом получатель при желании может отказаться от своего вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличивает сумму в 5 раз и отправляет ее в один из проверенных фондов, который исследователь может выбрать на сайте Тинькофф в разделе «Благотворительность». Так и поступил один из багхантеров проекта, пожертвовав свой бонус, который был увеличен до 675 тыс. рублей, в один из благотворительных фондов.
Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.
Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.
Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.
Я указал это в статье - "вымогательство вознаграждений".
Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.
У меня чувство deja vu: https://habr.com/ru/post/336596/. Такое ощущение что был потерян пласт знаний и сейчас потомки по крупицам воссоздают информацию о netcat, aircrack-ng и прочем.
Я не работаю в "Инфосистемах Джет" с 2019 года.
Ссылки: вот, вот или вот.
Взорвались только новые пейджеры из последних поставок. А ссылок полно: вот, вот или вот.
Балансить по какой схеме? В целом это не задача WAF, но частично ими решается.
Разница между http и https примерно в 2 раза, использование DPDK и других ускорителей еще/пока очень редкая история.
Можно вообще все оттюнить nginxoм если у вас две статический html странички.
WebSocket - можно проверить только инициирование http-соеднение, WAF не проваливается дальше в протокол ws.
post-deploy > в современной парадигме RASP это не WAF, а WAAP.
Багбанути площадка не покупатель багов, а некий мост между компаниями и IT-сообществом. В совокупности получается более выгодный и эффективный механизм по обеспечению высокого уровня безопасности информационных систем и ресурсов. Багхантеры получают деньги и славу, компании - безопасность.
Людям, которые "сдают" баги в даркнет по большей части все равно есть там багбаунти или нет, они выбрали свой путь. Многие отлично стреляют в тире, но лишь единицы идут в наемные убийцы, если брать Вашу аналогию.
Багхантер, выбирающий ту или иную программу оценивает ее по своим критериям. Большинство багхантеров довольны существующими выплатами и программами.
пентест != багбаунти
что мешает бездомным купит себе дома и перестать таковыми быть?
По своему опыту могу сказать что в даркнете ее еще надо найти кому продать, а багбаунти легальный и легитимный способ "обналичить" баги и спать спокойно.
Включу душнилу: каноничнее будет "эксплоит к уязвимости нулевого дня".
Это не киберполигон, это стенд и среда мониторинга к нему. Киберполигон это как минимум связная архитектура, а не одинокий сервер/сервис. В качестве готового примера - вот https://github.com/Orange-Cyberdefense/GOAD. В качестве средств аналитики/мониторинга попробуйте либо HELK (немного устаревший), либо комбайн на базе Kali Purple.
К слову, гугол тоже не принимает open redirect'ы без серьезного импакта.
Теперь ждем премиум лакшери подписку, где это можно отключить.
Вот тут понятнее написано: он использует совокупность признаков виде хеша, если хеш изменился - значит кто-то подменил AC.
Вообще существует несколько утилит для детекта rogue AP/evil twin и прочих атак.
Много комментариев про благотворительность - подтверждаю, Тиньков Банк, в рамках своей bug bounty программы, по просьбе багхантера на площадке bugbounty.ru , перечислил денежные средства в благотворительный фонд: https://t.me/bugbountyru_chat/1832
Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.
Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.
Отчеты под NDA, лучше писать нормальные, хотя бы по такому гайду: https://xakep.ru/2021/04/28/best-pentest-report/
Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.
Я указал это в статье - "вымогательство вознаграждений".
Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.
Олды помнят, даже проблемы одинаковые решали:
https://habr.com/ru/company/pentestit/blog/331406/
Всем заинтересовавшимся у Антона был целый цикл статей на эту тему: https://habr.com/ru/users/antgorka/posts/
gosuslugi.ru/security.txt
«период охлаждения» = холд?
Yubikey отличный токен, но пару ложек:
они сильно подорожали
при этом их нет в наличии.
У меня чувство deja vu: https://habr.com/ru/post/336596/. Такое ощущение что был потерян пласт знаний и сейчас потомки по крупицам воссоздают информацию о netcat, aircrack-ng и прочем.