Wpisy z tagiem "bug bounty"
Facebook, Google, Intel, Snapchat, Cisco, Mozilla, Twitter, Dropbox, Uber – wszystkie te marki oferują od dawna programy bug bounty. Polskie firmy musiały dopiero do tego rozwiązania dorosnąć – a drogę przecierać będzie w naszym kraju Allegro.… Czytaj dalej
Google opublikowało garść statystyk na temat swoich programów dla łowców błędów. Z każdego wykresu wynika, że nasi rodacy zarówno liczbą jak i jakością zgłaszanych błędów byli w minionym roku w ścisłej światowej czołówce.… Czytaj dalej
Jeśli sądzicie, że łowcy nagród za błędy na platformach firm takich jak Facebook czy Google muszą wynajdywać same 0daye to poniższy przykład pokaże Wam, że wcale tak być nie musi. Stare błędy też mogą okazać się całkiem przydatne.… Czytaj dalej
Kilka dni temu trafiliśmy na wiadomość o ciekawej podatności w usłudze Gmail, która miała rzekomo umożliwiać przejęcie kontroli nad dowolnym kontem w Gmailu. Im bliżej jednak się jej przyglądaliśmy, tym większe robiły się nasze oczy…… Czytaj dalej
Zdobycie pełnego dostępu do infrastruktury jednego z największych serwisów internetowych jakim jest Instagram wydaje się być całkiem niezłym osiągnięciem dla nieznanego szerzej hakera. Dlaczego Facebook nie wypłacił sowitej nagrody i czy miał rację?… Czytaj dalej
Slack to bardzo popularne narzędzie do komunikacji grupowej, stosowane przez wiele zespołów na całym świecie. Niedawno firma otrzymała nietypowe zgłoszenie o błędzie w ramach programu bug bounty zarządzanego przez platformę HackerOne – i potraktowała je bardzo poważnie. Polecamy lekturę wymiany wiadomości.… Czytaj dalej
Mimo iż firmy takie jak Facebook czy Google dbają o bezpieczeństwo swoich usług a codziennie w ramach programów bug bounty testują je setki jak nie tysiące osób, to nadal znaleźć w nich można ciekawe i oryginalne błędy. Poniżej opis jednego z nich.… Czytaj dalej
Google opublikowało bardzo ciekawy zestaw informacji dla łowców błędów pod hasłem Bughunter University (autorem strony jest nasz rodak, Krzysztof Kotowicz). Znaleźć tam można kilka zakładek, w tym instrukcję, czego nie zgłaszać do Google (np. błędów XSS wymagających własnoręcznej modyfikacji kodu w przeglądarce ofiary…) czy też bardzo ważną informację, jak poprawić jakość swoich zgłoszeń błędów.… Czytaj dalej
Możliwość zdalnego wykonania kodu jest jednym z rzadziej spotykanych i wyżej wycenianych rodzajów błędów w aplikacjach internetowych. Odkrycie takiego błędu na serwerach Facebooka jest bez wątpienia przypadkiem wartym bliższej analizy.… Czytaj dalej
Istnieją różne modele nagradzania odkrywców błędów w stronach czy programach. Niektóre firmy wypłacają nagrody, inne wręczają bony do swoich sklepików, a pewna firma postanowiła przekazać 5% swoich akcji osobie, która złamie jej system szyfrowania poczty.… Czytaj dalej
Od kilku lat duża część największych firm internetowych oferuje nagrody za odkrycie błędów w ich serwisach. W Polsce zwyczaj ten do tej pory się nie przyjął, a osoby zgłaszające błędy otrzymują czasem dość zabawne propozycje.… Czytaj dalej
Google własnie ogłosiło otwarcie nowego wariantu programu „bug bounty”. Tym razem oferuje nagrody za wkład w zabezpieczenie wybranych rozwiązań opartych na otwartym kodzie źródłowym. Jeśli Wasza łata, poprawiająca bezpieczeństwo produktu poprzez np. dodanie dodatkowych mechanizmów zabezpieczeń zostanie przyjęta do projektu, to możecie otrzymać od $500 do $3133.7.… Czytaj dalej
Microsoft niedawno dołączył do programów typu „bug bounty”, jednak podszedł do nich trochę inaczej niż większość konkurencji. Co prawda płaci za odkryte błędy, ale tylko w ramach konkretnych akcji (obecnie tylko w Internet Explorerze 11 Preview). Główny nacisk programu położono na metody omijania podstawowych mechanizmów zabezpieczeń w najnowszej wersji Windows oraz tworzenie nowych mechanizmów zabezpieczeń.… Czytaj dalej
Portugalskiemu poszukiwaczowi błędów wydawało się już, że właśnie odkrył XSS w formularzu zgłaszania błędów w programie Google Bug Bounty. O tym samym przekonał również co najmniej jeden poważny serwis (choć może to nie było na serio?) . Okazuje się jednak, że trafił tylko na Easter Egg, zostawiony przez zespół bezpieczeństwa Google :)
Czemu w odpowiedzi na alert(1) pojawia się 42?… Czytaj dalej
Czasem zbytni entuzjazm po odkryciu poważnego błędu i brak przestrzegania reguł programu współpracy z badaczami mogą drogo kosztować. Przekonał się o tym Palestyńczyk, którego odkrycie nie zostało zakwalifikowane do nagrody pieniężnej.… Czytaj dalej