|
|
@@ -0,0 +1,114 @@
|
|
|
+# Программы поиска уязвимостей Bug Bounty Programs
|
|
|
+### **Это программы**
|
|
|
+предлагаемая компаниями, производящими коммерческие продукты, а также разработчиками программного обеспечения, с помощью которой люди могут получить признание (например, попасть на сайт, называемый «Залом славы», англ. hall of fame) и/или вознаграждение (чаще всего денежное, но могут быть и материальные вознаграждения в виде, например, мерча компании) за нахождение ошибок, затрудняющих взаимодействие пользователя с продуктом, а также уязвимостей, которые могут нести разрушительные последствия как для пользователей, так и для компаний.
|
|
|
+
|
|
|
+**Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления.**
|
|
|
+
|
|
|
+---
|
|
|
+В октябре 2013 года компания Google анонсировала существенное изменение в свою программу вознаграждений для нашедших уязвимости. Раньше программа Bug Bounty охватывала многие продукты Google. Однако программа была расширена, чтобы включать ряд свободных приложений и библиотек с высоким риском, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Отчёты, которые соответствуют нормативам Google, могут быть вознаграждены в пределах от 500 до 3133,70 долларов.
|
|
|
+
|
|
|
+Аналогичным образом компании Microsoft и Facebook объединились в ноябре 2013 года для спонсирования программы The Internet Bug Bounty, предлагающей награду за отчёты об уязвимостях и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом. В 2017 году эту программу проспонсировали GitHub и фонд Форда; ею управляют волонтёры из Uber, Microsoft, Facebook, Adobe и HackerOne. В ней участвуют такие продукты, как Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, nginx, Apache HTTP Server и Phabricator. Кроме того, в рамках программы предлагалась награда за выявление более широких уязвимостей, затрагивающих широко используемые операционные системы и веб-браузеры, а также Интернет в целом.
|
|
|
+
|
|
|
+В марте 2016 года Питер Кук объявил первую программу Bug Bounty федерального правительства США, Hack the Pentagon («Взломай Пентагон»). Программа проходила с 18 апреля по 12 мая, и более 1400 человек подали 138 уникальных отчётов через HackerOne. В общей сложности Министерство обороны США выплатило 71 200 $. В июне министр обороны Эш Картер встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за участие в программе.
|
|
|
+
|
|
|
+Open Bug Bounty — коллективная программа Bug Bounty, запущенная в 2014 году и позволяющая сообщать об уязвимостях сайтов и веб-приложений в надежде на вознаграждение от их владельцев.
|
|
|
+
|
|
|
+8 декабря 2020 года Казахстанская компания по предоставлению услуг кибербезопасности ОЮЛ «Центр анализа и расследования кибер атак» запустила Национальную площадку по выявлению уязвимостей BugBounty.kz. К платформе, помимо частных компаний, также были подключены информационные системы и ресурсы государственных органов. С момента запуска платформы по 28 октября 2021 года было получено 1039 отчетов об уязвимостях. За время функционирования платформы были выявлены уязвимости, которые приводили к утечке персональных данных из критически важных объектов информационно-коммуникационной инфраструктуры и перехвату управления системами жизнеобеспечения целого города.
|
|
|
+
|
|
|
+В 2021 году компания ООО Киберполигон анонсировала и запустила площадку BugBounty.ru, первую в РФ платформу для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсов. С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичных.
|
|
|
+
|
|
|
+В 2022 году компания Positive Technologies представила свою платформу The Standoff 365 Bug Bounty. Впервые исследователи безопасности на ней могут получать награду не только за обнаружение уязвимостей, но и за реализацию бизнес-рисков. За два месяца на платформе зарегистрировались более 900 исследователей безопасности
|
|
|
+
|
|
|
+---
|
|
|
+### **Как работает Bug Bounty**
|
|
|
+Программы Bug Bounty часто дополняют регулярное тестирование на проникновение и помогают организациям проверять безопасность своих систем на протяжении всего жизненного цикла разработки.
|
|
|
+
|
|
|
+Разумеется, у корпораций есть собственная команда по безопасности, но крупные компании постоянно разрабатывают и запускают множество продуктов. При таком количестве задач возможностей штатной команды по кибербезопасности перестает хватать — здесь на помощь приходит Bug Bounty.
|
|
|
+
|
|
|
+Организации используют две основные модели для своих программ вознаграждения за обнаруженные ошибки: внутреннюю и платформенную.
|
|
|
+
|
|
|
+Внутренние программы
|
|
|
+Это программы, которые сами компании размещают у себя на сайте.
|
|
|
+
|
|
|
+В этом случае работа строится следующим образом:
|
|
|
+
|
|
|
+Компания объявляет о запуске Bug Bounty с описанием всех деталей: области, подлежащие тестированию, типы уязвимостей, которые их интересуют, и вознаграждения за каждый найденный баг.
|
|
|
+
|
|
|
+Исследователи безопасности регистрируются и начинают тестировать программное обеспечение или веб-сайт на наличие уязвимостей, соблюдая правила программы.
|
|
|
+
|
|
|
+Когда хакер обнаруживает ошибку, он заполняет отчет о раскрытии информации, в котором подробно описывается, что это за ошибка, как она влияет на приложение и какой уровень серьезности она имеет. Хакер включает ключевые шаги и детали, которые помогут разработчикам воспроизвести и проверить ошибку.
|
|
|
+
|
|
|
+Компания проверяет сообщение, оценивает серьезность уязвимости и работает над исправлением ошибки.
|
|
|
+
|
|
|
+Затем разработчики компании проводят повторное тестирование, чтобы подтвердить устранение проблемы.
|
|
|
+
|
|
|
+После этого исследователь получает вознаграждение. Сумма может варьироваться в зависимости от серьезности уязвимости и политики компании.
|
|
|
+
|
|
|
+---
|
|
|
+
|
|
|
+### **HackerOne** — это компания, разоблачающая уязвимости,
|
|
|
+базируется в Сан-Франциско, штат Калифорния. Компания создала bug bounty платформу, соединяющую бизнес и исследователей безопасности. Компания имеет дополнительный офис, расположенный в городе Гронинген (Нидерланды), где ведётся основная часть разработки. Она предоставляет свои услуги для таких компаний, как Твиттер, Slack, Adobe,Yahoo, LinkedIn, ВКонтакте и Airbnb. HackerOne является одной из первых компаний, которая охватила и использовала хакеров в рамках своей бизнес-модели
|
|
|
+
|
|
|
+HackerOne разрабатывает согласование уязвимости и Bug Bounty платформы. Компании платят хакерам через платформу вознаграждения за выявление уязвимостей в своих системах и продуктах. Платформа обеспечивает безопасную разведку обмена, оплаты и репутацию системы для хакеров. К июню 2015 года, платформа HackerOne выявила около 10 000 уязвимостей и выплатила хакерам более $3 миллионов. В то время, в сети компании насчитывается 1500 хакеров в 150 странах. В 2016 году, платформа Bug Bounty компании HackerOne была использована Пентагоном для взлома программы Пентагона. Программа заплатила хакерам за отчет об уязвимостях веб-сайтов Министерства обороны и выявила 138 сообщений об ошибках и заплатила хакерам $71,200.
|
|
|
+
|
|
|
+---
|
|
|
+
|
|
|
+### **Bugcrowd**
|
|
|
+Связывает компании и их приложения с десятками тысяч исследователей безопасности для выявления критических уязвимостей. Среди известных разработчиков: Atlassian, Tesla и Motorola.
|
|
|
+
|
|
|
+Поддерживает как частные, так и публичные программы Bug Bounty, что позволяет хакерам выбирать самые интересные и подходящие для себя задания.
|
|
|
+
|
|
|
+Bugcrowd предлагает ресурсы для обучения и развития, включая вебинары, руководства и возможность взаимодействовать с другими специалистами по безопасности через Bugcrowd University и форумы.
|
|
|
+
|
|
|
+---
|
|
|
+### **Intigriti**
|
|
|
+Европейская платформа с акцентом на гибкость и адаптивность программ Bug Bounty. Intigriti предлагает широкий выбор тестов, сильное сообщество и систему поддержки. Платформа не только связывает хакеров с компаниями, но и способствует созданию профессионального комьюнити, где исследователи могут делиться знаниями и опытом.
|
|
|
+
|
|
|
+Среди клиентов Intigriti можно найти такие компании, как Microsoft, Volkswagen, Adobe, Telenor, и KPMG.
|
|
|
+
|
|
|
+Внутренняя команда Intigriti проверяет все отчеты хакеров перед отправкой клиентам, чтобы убедиться, что информация описана корректно, и исследователь сможет получить конструктивную обратную связь.
|
|
|
+
|
|
|
+---
|
|
|
+### **Synack**
|
|
|
+Частная внештатная исследовательская группа по безопасности, охватывающая 6 континентов из более 80 стран. Synack работает самыми сильными исследователями со всего мира, которые прошли строгий отбор.
|
|
|
+
|
|
|
+Команда Synack выполняет тестирование на проникновение веб- и мобильных приложений и хост-инфраструктуры. Среди клиентов платформы такие компании, как Microsoft, Intel, SAP, Samsung и другие.
|
|
|
+
|
|
|
+---
|
|
|
+### **YesWeHack**
|
|
|
+Платформа предлагает баг-баунти-программы для разных типов систем и приложений. Компании-участники включают Airbus, Orange, Oxfam, Société Générale и др.
|
|
|
+
|
|
|
+YesWeHack использует гибкие модели вознаграждений, которые могут варьироваться от фиксированных сумм до бонусов за особо серьезные уязвимости. Кроме этого, у платформы есть система рангов для охотников за ошибками, которая повышает конкурентоспособность исследователей.
|
|
|
+
|
|
|
+---
|
|
|
+
|
|
|
+### **HackenProof**
|
|
|
+Одна из самых молодых платформ баг-баунти и тестирования безопасности, которая предоставляет белым хакерам возможность искать уязвимости в системах таких компаний, как Coca-Cola, IBM и Nokia.
|
|
|
+
|
|
|
+---
|
|
|
+### **Яндекс**
|
|
|
+
|
|
|
+У Яндекса есть собственная платформа Yandex Security Bug Bounty. На ней охотники за ошибками могут исследовать инфраструктуру, веб-сервисы и мобильные приложения компании. Скоро Яндекс откроет программы по взлому умной колонки и собственного браузера.
|
|
|
+
|
|
|
+Участвовать в «Охоте за ошибками» могут пользователи в возрасте 14 лет и старше (за исключением сотрудников Яндекса или компаний-партнеров).
|
|
|
+
|
|
|
+Размер вознаграждения публикуется на странице конкретного конкурса. Например, в рамках юбилейной программы баг-баунти «10 лет Охоте за ошибками» компания выплатила победителям в общей сложности 31 млн рублей.
|
|
|
+
|
|
|
+---
|
|
|
+### **BI.ZONE Bug Bounty**
|
|
|
+
|
|
|
+Платформа крупной дочерней компании Сбера — BI.ZONE. Суммы вознаграждений варьируются от нескольких тысяч до нескольких миллионов рублей. В 2023 году общая сумма выплат за найденные баги на платформе составила более 15 млн рублей.
|
|
|
+
|
|
|
+На BI.ZONE Bug Bounty можно найти программы компаний Авито, VK, Т-Банк, Минцифры России и других.
|
|
|
+
|
|
|
+Платформа предоставляет готовые шаблоны отчетов для удобства хакеров, поддерживает ИБ-комьюнити для обмена опытом, а также публикует отчеты исследователей в открытом доступе, чтобы другие багхантеры могли повышать свое мастерство.
|
|
|
+
|
|
|
+---
|
|
|
+https://habr.com/ru/companies/skillfactory/articles/832870/
|
|
|
+https://ru.wikipedia.org/wiki/HackerOne
|
|
|
+https://ru.wikipedia.org/wiki/Bug_Bounty
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
