Positive Technologies · Standoff365

👎 Not recommend · @d3n13d

«Пофиксили уязвимость, чтобы не платить баунти?

Три месяца ждал разбор простейшего репорта по отравлению кеша (взяли в работу через пару дней, но потом ушли в игнор, допинал через поддержку с 3 раза).
По итогу уязвимость они пофиксили (есть два скринкаста в репорте - видно, что поведение изменилось; есть скринкаст, что раньше стреляло), а в репорте ответили, что ничего не воспроизводится, и закинули его в "отклонён" как мусор.

На вопрос из разряда "что за прикол, вы пофиксили, вот пруфы" триажер ответил, что "Никакие дополнительные изменения не вносились в работу сайта компании.".
Раскрыть отчёт тоже не дали - "Мы не даем согласие на раскрытие деталей данного отчета.".

Не рекомендую эту программу и компанию.»

Read full review on HackAdvisor →

В этом канале бот будет автоматически публиковать все новые отзывы с HackAdvisor.
Ваш HackAdvisor. 🤍

Konsol · Standoff365

🤔 Neutral · Anonymous

«полные сосиски. маринуют отчёты, когда приходят проверить банку (месяц) - они уже пофикшены, но вроде как стараются разобраться и не заскамить бедного белого хакера»

Read full review on HackAdvisor →

Magnit · Standoff365

🤔 Neutral · @gg_script

«Сложные чейны застревают и в большинстве получают информативы / ожидание в несколько месяцев, обыкновенные баги вполне себе быстро триажат, выплачивают не прям уж быстро.»

Read full review on HackAdvisor →

Bitriks24 · Standoff365

👎 Not recommend · @porridge

«Не советую программу
Очень долгое время ответа, фиксят информативы и потом не отвечают в течение нескольких месяцев. В целом после получения вердикта по отчету ответа на вопросы можно не ждать, даже после обращения в медиацию. Выплаты стабильно ниже ожидаемого»

Read full review on HackAdvisor →

SberSpasibo (AO "TsPL") · BI.ZONE

⭐ Recommend · @manonthemoon

«оч круто, нормальный триаж + выплата за что-то типа информатива, причем не самая маленькая)»

Read full review on HackAdvisor →

Рады видеть, что команда пересмотрела кейс и приняла положительное решение по отчету с назначением выплаты.

Хороший пример того, как дополнительный пересмотр помогает находить баланс между исследователями и программой. Надеемся, что подобные ситуации будут решаться быстрее и прозрачнее в будущем.

https://t.me/c/1835061833/4774

Gosuslugi · Standoff365

🤔 Neutral · Anonymous

«Импакт зачастую занижается, а время ответа может растягиваться до двух месяцев - к сожалению, медиация на эти сроки повлиять особо не в силах. Выплаты в целом неплохие, однако стоит учитывать один важный нюанс: для хорошего импакта необходимо хорошо ориентироваться в документации и регламентах ЕПГУ. Без этого даже качественно оформленный отчёт рискует получить статус информатива по принципу «да это не наше блин».»

Read full review on HackAdvisor →

Bitrix24 · Standoff365

👎 Not recommend · Anonymous

«Программа для фарма информативов без ответов, получаешь информатив - никогда не жди аргументы»

Read full review on HackAdvisor →

Avito · BI.ZONE

👎 Not recommend · @kynya00

«посмотрел новый скоуп и отправил два репорта, но столкнулся с рядом спорных моментов в процессе их триажа:

первый баг был признан дубликатом со статусом informative, однако сам статус на площадке так и не обновился после просьб. В качестве подтверждения дубликата мне предоставили лишь номер тикета из внутренней jira, без скриншотов (хотя ранее на других программах всегда присылали пруф в виде скриншота из внутренних систем для прозрачности).

второй баг изначально был принят, и по нему назначили баунти (уже документы были в подписаны в консоли). однако позже выплату отменили, сославшись на внутреннюю ошибку при расчете коэффициентов (сумму случайно завысили). в качестве утешения команда лишь попросила "не расстраиваться" :)»

Read full review on HackAdvisor →

Bitrix24 · Standoff365

🤔 Neutral · @Antart

«Из хорошего - за криты всегда платили максимально, без попыток занизить. Если репорт дубль или спорный то дают пруфы, даже исходники уязвимой функции показывали. Так же компания идёт навстречу с регистрацией в БДУ, проблем с этим нет. Ну и криты фиксят быстро, в течение 24 часов, практически нет шанса выхватить дубль.
Из минусов - выплаты маленькие. Битрикс всем известен, продукт огромный, могли бы платить за баги больше, но вендор художник и он видит так.
В целом программа нормальная. Но по деньгам явно есть куда расти.»

Read full review on HackAdvisor →

TIMEWEB · BI.ZONE

👎 Not recommend · @r0hack

«Очень сильно не понравилось.

Первый раз, еще 1.5-2 года назад, когда нашел несколько недостатков типа IDOR, но это были такие IDORы, которые по импакту намного выше чем RCE + легкость и быстрота эксплуатации. Мне объединили все 3 в 1 и выплатили по максимуму. Что на мой взгляд сильно недооценили и решили сэкономить. Я забил на это и не ломал долгое время.

Через время, где-то месяц назад при тестировании, нашел достаточно критичный, по многочисленным сотням багам уже сложилось понимание, во сколько оценят тот или иной баг, при получении той или иной информации.

Но когда ты получаешь в разы меньше, где объективно оценка должна была быть в несколько раз выше, то такие вендоры уходят в блок.»

Read full review on HackAdvisor →

Avito · BI.ZONE

🤔 Neutral · @act1on3

«Из плюсов - заявляют выплаты до 1 млн, но:
0) Довольно долгий триаж, + было что фиксили до триажа со стороны триажера платформы, поэтому появлялись вопросы.
1) Непрозрачная оценка - обычно она ниже ожиданий, приходится спорить и аргументировать по каждой проблеме, хотя я крайне не люблю это делать. Какой-то хейт в сторону client-side, хотя импакт можно получить хороший от XSS - аргументы не убедили, получил минимальную выплату по high критичности.
2) Показалось, что представитель компании плохо знаком с веб уязвимостями и не особо валидирует отчет от первичного триажа (триажер платформы).…»

Read full review on HackAdvisor →

MAX · Standoff365

⭐ Recommend · @act1on3

«В целом оценю VK в этом отзыве. Еще, смотря статистику с H1, я понял, что большее кол-во репортов и баунти получил с этих программ. Почти никогда не возникало вопросов - было, что ожидания не совпадали, но это работало в обе стороны (приятнее получить выше ожиданий хех). Если есть вопросы по оценке - получаю аргументированные ответы. По-моему, процесс выстроен хорошо и оценка критичности и размера выплаты достигается через консенсус внутри VK. Поэтому оценке багов я доверяю, но без проблем можно уточнить.
Быстрый и хороший триаж; программа bounty pass; довольно быстрые оценки и выплаты; почти нет проблем с WAF/rate limits.
Обычно я сравниваю опыт на других программах с опытом VK, где опыт с VK это максимальный показатель. :)»

Read full review on HackAdvisor →

Как я и говорил, HackAdvisor потихоньку превращается в экосистему.

Тут нет релизных циклов и планов - я просто делаю то, что мне самому нравится. Жаль, что не могу больше: в сутках всего 24 часа, да и основной работы хватает.

И вот новая часть экосистемы — JOBS, портал вакансий.

Компании смогут размещать вакансии, вы - выкладывать свои резюмешки. И это не только про баг-баунти JOBS про ИБ в целом. Фишка простая: резюме тут не про красивые слова, а про то, что ты реально умеешь(не точно)) баг-баунти, решённые лабы, сертификаты видно сразу.

Так что залетайте на jobs.hackadvisor.io - регистрация открыта, заводите профиль и собирайте резюме. Начинаем с вас, потому что вы тут самое крутое, что есть)) Вакансии и рекрутёры подтянутся следом.

Дальше - фиксить баги, пилить и допиливать по чуть-чуть, как обычно. Мотивация та же - сообщество)

Всех обнял!)