Skip to content

Tag: bounty

3 sposoby na położenie firmowego programu bug bounty

Program bug bounty czyli płacenie hakerom za wykryte podatności to kolejny sposób poprawę bezpieczeństwa systemów i aplikacji. Wiele par oczu wyszukujących podatności oraz płatność w systemie success fee jest na tyle ciekawy, że coraz więcej firm korzysta z platform takich jak Bugcrowd czy HackerOne i uruchamia programy firmowe. Jeśli jesteś bezpiecznikiem, osobą odpowiedzialną za start lub prowadzenie takiego programu, to jest to artykuł dla Ciebie. Dowiesz się w jaki sposób położyć taki program na trzy różne sposoby. Sposób pierwszy – brak zespołu obsługującego zgłoszenia Haker zgłosił podatność, należałoby ją sprawdzić i ewentualnie załatać. Jak na złość właśnie wszyscy są zajęci…

RCE na WhatsApp – $1M, zdalny jailbreak na iOS – $2M

Zerodium – firma, która zajmuje się pozyskiwaniem i odsprzedażą eksploitów przed ich załataniem przez producentów oprogramowania (0day) podniosła nagrody za podatności. Pełny cennik został opublikowany na stronie programu pozyskiwania eksploitów oraz ogłoszony na Twitterze. Wysokość nagród świadczy o zapotrzebowaniu na metody przełamywania zabezpieczeń oraz odzwierciedla trudność i prawdopodobieństwo znalezienia luki. Przykładowe ceny: Zdalny, trwały jailbreak na iOS (bez potrzeby kliknięcia w złośliwy link) – 2,000,000 USD Zdalny, trwały jailbreak na iOS (za pomocą jednego kliknięcia) – 1,500,000 USD Zdalne wykonanie kodu (RCE) w WhatsApp, iMessage, przez wiadomości SMS/MMS – 1,000,000 USD Zdalne uruchomienie kodu (RCE) bez potrzeby kliknięcia w złośliwy…