💸 Google запустил Bug Bounty программу для ПО с открытым исходным кодом
Компания Google объявила о запуске программы вознаграждения за уязвимости ПО с открытым исходным кодом. Исследователям кибербезопасности предлагают вознаграждение до $31.337 за обнаружение ошибок.
В настоящее время компания поддерживает несколько проектов с открытым исходным кодом, среди них — Golang, Angular и Fuchsia. Также, Google является одним из крупнейших разработчиков проектов с открытым исходным кодом в мире.
«После недавних инцидентов в сфере безопасности с открытым исходным кодом (например, Log4Shell, Codecov) мы заметили, что все больше исследователей безопасности интересуются открытым исходным кодом. Мы хотим и дальше поддерживать этот интерес, а наличие четких рамок и вознаграждений для исследователей является частью этого процесса», — рассказал представитель Google.
Программа ориентирована на все актуальные версии ПО с открытым исходным кодом, размещённые в публичных GitHub-репозиториях ряда организаций, а также на сторонние зависимости этих проектов.
🗞 Блог Кодебай
#news #google #bounty
Компания Google объявила о запуске программы вознаграждения за уязвимости ПО с открытым исходным кодом. Исследователям кибербезопасности предлагают вознаграждение до $31.337 за обнаружение ошибок.
В настоящее время компания поддерживает несколько проектов с открытым исходным кодом, среди них — Golang, Angular и Fuchsia. Также, Google является одним из крупнейших разработчиков проектов с открытым исходным кодом в мире.
«После недавних инцидентов в сфере безопасности с открытым исходным кодом (например, Log4Shell, Codecov) мы заметили, что все больше исследователей безопасности интересуются открытым исходным кодом. Мы хотим и дальше поддерживать этот интерес, а наличие четких рамок и вознаграждений для исследователей является частью этого процесса», — рассказал представитель Google.
Программа ориентирована на все актуальные версии ПО с открытым исходным кодом, размещённые в публичных GitHub-репозиториях ряда организаций, а также на сторонние зависимости этих проектов.
🗞 Блог Кодебай
#news #google #bounty
👍14🤩1
🎉 "Яндекс" увеличил выплаты за уязвимости в 10 раз
Компания «Яндекс» сообщила, что программе вознаграждения белых хакеров «Охота за ошибками» исполняется 10 лет. В честь этого события компания увеличивает выплаты за найденные уязвимости в сервисах компании в 10 раз. Денежное вознаграждение можно будет получить в период с 20 сентября по 19 октября включительно.
Например, за критичный баг в умных устройствах с голосовым помощником «Алисой» выплата составляла 300 тыс. рублей. Сейчас же, в период увеличенного денежного вознаграждения, она будет в 10 раз больше — 3 млн. рублей.
«Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров за сообщение об уязвимости в продуктах IT-компании. В 2012 году «Яндекс» первым в России запустил подобную программу. С этого времени в программе поучавствовало около 4.5 тысяч исследователей, которые сообщили о более чем 16 тыс. уязвимостях.
🗞 Блог Кодебай
#news #yandex #bounty
Компания «Яндекс» сообщила, что программе вознаграждения белых хакеров «Охота за ошибками» исполняется 10 лет. В честь этого события компания увеличивает выплаты за найденные уязвимости в сервисах компании в 10 раз. Денежное вознаграждение можно будет получить в период с 20 сентября по 19 октября включительно.
Например, за критичный баг в умных устройствах с голосовым помощником «Алисой» выплата составляла 300 тыс. рублей. Сейчас же, в период увеличенного денежного вознаграждения, она будет в 10 раз больше — 3 млн. рублей.
«Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров за сообщение об уязвимости в продуктах IT-компании. В 2012 году «Яндекс» первым в России запустил подобную программу. С этого времени в программе поучавствовало около 4.5 тысяч исследователей, которые сообщили о более чем 16 тыс. уязвимостях.
🗞 Блог Кодебай
#news #yandex #bounty
👍22🔥5🎉2😐1
Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2
Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5.
📌 Читать далее
#bug #bounty
Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5.
📌 Читать далее
#bug #bounty
👍6🔥1
Блог начинающего Bug Хантера. Уязвимости при SMS-аутентификации + Кейсы. Часть 3.1
Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми описанными типами уязвимостями встречался на пентестах и на BugBounty. К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
📌 Читать далее
#bug #bounty #sms
Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми описанными типами уязвимостями встречался на пентестах и на BugBounty. К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
📌 Читать далее
#bug #bounty #sms
👍11🔥3❤🔥2
💸 Минцифры вознаградит белых хакеров за найденные уязвимости на Госуслугах
Минцифры РФ до конца года планирует привлечь «белых хакеров» для обнаружения уязвимостей на Госуслугах.
«Мы планируем объявить до конца года и провести bug bounty по Госуслугам для выявления «дыр» в безопасности», — заявил глава ведомства Максут Шадаев.
Глава ведомства также уточнил, что последние атаки на платформу прошли стабильно, без каких-то значимых нарушений в функционировании. Несмотря на это, «Госуслуги» находятся под большим риском DDоS-атак и факт того, что работа сервисов может приостановиться из-за таких атак — «весьма обидный».
🗞 Блог Кодебай
#news #russia #bounty
Минцифры РФ до конца года планирует привлечь «белых хакеров» для обнаружения уязвимостей на Госуслугах.
«Мы планируем объявить до конца года и провести bug bounty по Госуслугам для выявления «дыр» в безопасности», — заявил глава ведомства Максут Шадаев.
Глава ведомства также уточнил, что последние атаки на платформу прошли стабильно, без каких-то значимых нарушений в функционировании. Несмотря на это, «Госуслуги» находятся под большим риском DDоS-атак и факт того, что работа сервисов может приостановиться из-за таких атак — «весьма обидный».
🗞 Блог Кодебай
#news #russia #bounty
👍18🤣14🔥9🥴3👎2
🏆 Telegram объявил конкурс по взлому смарт-контрактов
Официальный канал Telegram Contests объявил конкурс по взлому смарт-контрактов с призовым фондом до $100.000. Целью конкурса является выявление потенциальных уязвимостей и проблем в смарт-контракте, который станет основой аукционной платформы Telegram.
Сумма вознаграждения зависит от серьезности обнаруженных проблем и может варьироваться от 200 долларов за незначительные корректировки кода до 50 000 долларов за серьезные недостатки. Например, действия, которое могут обойти логику и условия смарт-контракта, чтобы переназначить права собственности на активы.
Участники конкурса могут прислать архив с исходным кодом, руководством и скриптом для сборки (при необходимости) в @ContestBot (пункт конкурса по взлому смарт-контрактов). Или отправить запрос на устранение проблемы на GitHub. Во втором случае участники должны описать проблему в комментарии к запросу и отправить ссылку на запрос через @ContestBot.
Подробности конкурса указаны в соответствующем документе. Крайним сроком конкурса, принять участие в котором могут все желающие, обозначено 25 октября 18:00 (GST). Результаты объявят 26 октября.
🗞 Блог Кодебай
#news #telegram #bounty
Официальный канал Telegram Contests объявил конкурс по взлому смарт-контрактов с призовым фондом до $100.000. Целью конкурса является выявление потенциальных уязвимостей и проблем в смарт-контракте, который станет основой аукционной платформы Telegram.
Сумма вознаграждения зависит от серьезности обнаруженных проблем и может варьироваться от 200 долларов за незначительные корректировки кода до 50 000 долларов за серьезные недостатки. Например, действия, которое могут обойти логику и условия смарт-контракта, чтобы переназначить права собственности на активы.
Участники конкурса могут прислать архив с исходным кодом, руководством и скриптом для сборки (при необходимости) в @ContestBot (пункт конкурса по взлому смарт-контрактов). Или отправить запрос на устранение проблемы на GitHub. Во втором случае участники должны описать проблему в комментарии к запросу и отправить ссылку на запрос через @ContestBot.
Подробности конкурса указаны в соответствующем документе. Крайним сроком конкурса, принять участие в котором могут все желающие, обозначено 25 октября 18:00 (GST). Результаты объявят 26 октября.
🗞 Блог Кодебай
#news #telegram #bounty
👍13🔥3❤🔥1🤯1
🏆 Positive Technologies запустила необычную программу Bug Bounty с вознаграждением в 10млн рублей!
Positive Technologies объявила о запуске программы Bug Bounty нового типа, которая ориентирована не на поиск чисто технических уязвимостей во внешних сервисах компании, а на реализацию действительно критического для компании события - кражи денег со счетов.
"До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам", - рассказал директор экспертного центра безопасности Алексей Новиков.
Программа Bug Bounty от Positive Technologies не имеет ограничений по времени. В отличие от классических Bug Bounty, в этой программе этичным хакерам разрешается использовать практически любые методы удаленной атаки (включая социальную инженерию) для проникновения.
🤑 Главный приз в размере 10 миллионов рублей получит тот этичный хакер, который, согласно правилам программы, сможет перевести деньги со счетов компании нелегитимным способом и предоставить отчет.
🗞 Блог Кодебай
#news #russia #bounty
Positive Technologies объявила о запуске программы Bug Bounty нового типа, которая ориентирована не на поиск чисто технических уязвимостей во внешних сервисах компании, а на реализацию действительно критического для компании события - кражи денег со счетов.
"До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам", - рассказал директор экспертного центра безопасности Алексей Новиков.
Программа Bug Bounty от Positive Technologies не имеет ограничений по времени. В отличие от классических Bug Bounty, в этой программе этичным хакерам разрешается использовать практически любые методы удаленной атаки (включая социальную инженерию) для проникновения.
🤑 Главный приз в размере 10 миллионов рублей получит тот этичный хакер, который, согласно правилам программы, сможет перевести деньги со счетов компании нелегитимным способом и предоставить отчет.
🗞 Блог Кодебай
#news #russia #bounty
👍34🔥6👏3🤯1😍1
Охота на баги. Список площадок для Bug Bounty
Вспомним новости минувшей недели и посчитаем, сколько уязвимостей было обнаружено. Одна, две или сразу десять? Происходит такое по понятным и очевидным причинам. Люди не могут справиться со всей безопасностью сразу и поэтому в некоторых местах компаний открывается брешь. Ну а чтобы ее закрыть в работу вступают охотники на баги. Также ты мог слышать более близкое название к этому слову, а именно синоним "белые хакеры". Один из видов заработка, когда за найденную уязвимость тебе отчисляют некоторый процент денег. И здесь вся сумма зависит от критичности дыры. А теперь давай познакомимся с такими терминами поближе и проложим свою дорогу на пути к поиску багов.
📌 Читать далее
#beginner #bounty #information
Вспомним новости минувшей недели и посчитаем, сколько уязвимостей было обнаружено. Одна, две или сразу десять? Происходит такое по понятным и очевидным причинам. Люди не могут справиться со всей безопасностью сразу и поэтому в некоторых местах компаний открывается брешь. Ну а чтобы ее закрыть в работу вступают охотники на баги. Также ты мог слышать более близкое название к этому слову, а именно синоним "белые хакеры". Один из видов заработка, когда за найденную уязвимость тебе отчисляют некоторый процент денег. И здесь вся сумма зависит от критичности дыры. А теперь давай познакомимся с такими терминами поближе и проложим свою дорогу на пути к поиску багов.
📌 Читать далее
#beginner #bounty #information
👍16🔥3😱1
Немного о Bug Bounty, SSRF, CRLF и XSS
Привет, Codeby! Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость. Нашел SSRF, на тот момент даже не зная, что это такое. Как это получилось и почему это заслуживает интереса.
📌 Читать далее
#pentest #bounty #xss
Привет, Codeby! Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость. Нашел SSRF, на тот момент даже не зная, что это такое. Как это получилось и почему это заслуживает интереса.
📌 Читать далее
#pentest #bounty #xss
🔥9👍5
🤑 Яндекс увеличит награду за уязвимости в 2 раза
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
🔥17👍9👎3🤣2
👨💻 Минцифры запускает багбаунти
Минцифры запустил проект по поиску уязвимостей на Госуслугах. Программа будет проходить в несколько этапов. На первом этапе планируется проверить портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На последующих этапах будет расширен список ресурсов и обновлены условия.
Исследователи смогут принять участие, зарегистрировавшись на одной из двух платформ: BI.ZONE или Standoff 365. После регистрации им будет необходимо ознакомиться и согласиться с условиями программы, найти уязвимость в соответствии с правилами и отправить информацию о ней через платформу.
Вознаграждение за найденную уязвимость зависит от степени её серьёзности:
🔹 низкая - подарки с символикой проекта
🔹 средняя - до 50 тыс. рублей
🔹 высокая - от 50 до 200 тыс. рублей
🔹 критическая - до 1 млн. рублей и благодарность от команды Минцифры.
🗞 Блог Кодебай
#news #bounty
Минцифры запустил проект по поиску уязвимостей на Госуслугах. Программа будет проходить в несколько этапов. На первом этапе планируется проверить портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На последующих этапах будет расширен список ресурсов и обновлены условия.
Исследователи смогут принять участие, зарегистрировавшись на одной из двух платформ: BI.ZONE или Standoff 365. После регистрации им будет необходимо ознакомиться и согласиться с условиями программы, найти уязвимость в соответствии с правилами и отправить информацию о ней через платформу.
Вознаграждение за найденную уязвимость зависит от степени её серьёзности:
🔹 низкая - подарки с символикой проекта
🔹 средняя - до 50 тыс. рублей
🔹 высокая - от 50 до 200 тыс. рублей
🔹 критическая - до 1 млн. рублей и благодарность от команды Минцифры.
🗞 Блог Кодебай
#news #bounty
👍21👎5🔥5😁4🤔3🥴2
Охота на баги. Список площадок для Bug Bounty
Вспомним новости минувшей недели и посчитаем, сколько уязвимостей было обнаружено. Одна, две или сразу десять? Происходит такое по понятным и очевидным причинам. Люди не могут справиться со всей безопасностью сразу и поэтому в некоторых местах компаний открывается брешь. Ну а чтобы ее закрыть в работу вступают охотники на баги. Также ты мог слышать более близкое название к этому слову, а именно синоним "белые хакеры". Один из видов заработка, когда за найденную уязвимость тебе отчисляют некоторый процент денег. И здесь вся сумма зависит от критичности дыры. А теперь давай познакомимся с такими терминами поближе и проложим свою дорогу на пути к поиску багов.
📌 Читать далее
#beginner #bounty #information
Вспомним новости минувшей недели и посчитаем, сколько уязвимостей было обнаружено. Одна, две или сразу десять? Происходит такое по понятным и очевидным причинам. Люди не могут справиться со всей безопасностью сразу и поэтому в некоторых местах компаний открывается брешь. Ну а чтобы ее закрыть в работу вступают охотники на баги. Также ты мог слышать более близкое название к этому слову, а именно синоним "белые хакеры". Один из видов заработка, когда за найденную уязвимость тебе отчисляют некоторый процент денег. И здесь вся сумма зависит от критичности дыры. А теперь давай познакомимся с такими терминами поближе и проложим свою дорогу на пути к поиску багов.
📌 Читать далее
#beginner #bounty #information
👍9🔥6❤2😁1😐1