[Video] "Mi az a Bug Bounty és hogyan kezdhetünk bele?"

Manapság egyre elterjedtebbek az úgynevezett Bug Bounty programok, amelyek során vállalatok jutalmat ajánlanak fel annak, aki biztonsági hibát talál valamely termékükben és ahelyett hogy azt kihasználná, bejelenti nekik. Régebben csak a legnagyobbaknak, mint például a Google-nek és a Facebooknak volt ilyen programjuk, mára viszont komplett platformok jöttek létre ahol több száz program közül lehet válogatni. Schütz Dávid, az ICT Megoldások biztonsági kutatójának a tavaly június 17-i HWSW free! IT biztonsági meetupon tartott előadásából kiderül,  hogy mi is ez és hogyan működik, és hogy merre induljon az, aki ezzel szeretne foglalkozni, de nem tudja hogy kezdjen bele.

Természetesen idén sem maradunk IT biztonsági meetup nélkül, ezt a témakört járja körbe ugyanis a HWSW első nyári meetupja, július 7-én, kedden - továbbra is online formátumban.

Hozzászólások

Szerkesztve: 2020. 06. 26., p - 09:22

Ez az a játék tessékmondanikéremszépen, amikor a MSFT-nak elküldöm a bug leírását, reprozható exploittal, aláírom a kibaszott NDA-jukat h. az unokáim lelkét is kitépik ha másnak is el merem adni az exploitot? Aztán ülnek rajta pár hetet, majd visszanyögik h. bocsika, de ez nem kvalifikált a pénzjutalomra mert túlbonyolult kihasználni. Meg különbenis a belsős rizikóosztályozó tool-juk nem hozta ki critical-nak. Szóval köszike, és itt van egy MS logós cukorka! De azért máskor is várjuk (ingyér!) a bejelentésedet.

Utána meg csodálkoznak h. az ember inkább eladja az ilyen Hacking Team féle szararcoknak, v. az izraeli szájbergyerekhadseregnek.

a mi cegunknek van szerzodese a hackerone -nal. neha beesik egy-egy kritikus res miatta.

mondjuk egy ilyen cegnek ez apropenz, inkabb csak azert gaz, mert neha egy egeszen primitiv, 10 evvel ezelott elfelejtett .jsp-ben talalnak egy XSS-t, amivel a sessionId miatt account takeover lehetseges, aztan csak ugy roppennek a 20-50 ezer eurok ilyen apro hulyesegekre. Rakenyszeriti a ceget, hogy komolyan vegyek a karbantartast.