Wpisy z tagiem "bug bounty"

Allegro uruchamia pierwszy duży, publiczny program bug bounty w Polsce

Allegro uruchamia pierwszy duży, publiczny program bug bounty w Polsce

Facebook, Google, Intel, Snapchat, Cisco, Mozilla, Twitter, Dropbox, Uber – wszystkie te marki oferują od dawna programy bug bounty. Polskie firmy musiały dopiero do tego rozwiązania dorosnąć – a drogę przecierać będzie w naszym kraju Allegro.… Czytaj dalej

Polacy rządzą wśród łowców błędów w usługach i produktach Google

Polacy rządzą wśród łowców błędów w usługach i produktach Google

Google opublikowało garść statystyk na temat swoich programów dla łowców błędów. Z każdego wykresu wynika, że nasi rodacy zarówno liczbą jak i jakością zgłaszanych błędów byli w minionym roku w ścisłej światowej czołówce.… Czytaj dalej

RCE na serwerze Facebooka za $40k z użyciem błędu sprzed 5 miesięcy

RCE na serwerze Facebooka za $40k z użyciem błędu sprzed 5 miesięcy

Jeśli sądzicie, że łowcy nagród za błędy na platformach firm takich jak Facebook czy Google muszą wynajdywać same 0daye to poniższy przykład pokaże Wam, że wcale tak być nie musi. Stare błędy też mogą okazać się całkiem przydatne.… Czytaj dalej

Przejmowanie kont Gmaila czyli w poszukiwaniu granic ignorancji i absurdu

Przejmowanie kont Gmaila czyli w poszukiwaniu granic ignorancji i absurdu

Kilka dni temu trafiliśmy na wiadomość o ciekawej podatności w usłudze Gmail, która miała rzekomo umożliwiać przejęcie kontroli nad dowolnym kontem w Gmailu. Im bliżej jednak się jej przyglądaliśmy, tym większe robiły się nasze oczy…… Czytaj dalej

Gdzie leży granica bug bounty czyli ciekawy przypadek kluczy AWS Instagrama

Gdzie leży granica bug bounty czyli ciekawy przypadek kluczy AWS Instagrama

Zdobycie pełnego dostępu do infrastruktury jednego z największych serwisów internetowych jakim jest Instagram wydaje się być całkiem niezłym osiągnięciem dla nieznanego szerzej hakera. Dlaczego Facebook nie wypłacił sowitej nagrody i czy miał rację?… Czytaj dalej

:) Poważny błąd w Slacku i bug bounty 12,5 dolara

Slack to bardzo popularne narzędzie do komunikacji grupowej, stosowane przez wiele zespołów na całym świecie. Niedawno firma otrzymała nietypowe zgłoszenie o błędzie w ramach programu bug bounty zarządzanego przez platformę HackerOne – i potraktowała je bardzo poważnie. Polecamy lekturę wymiany wiadomości.… Czytaj dalej

Nietypowy błąd na serwerach Facebooka umożliwiał odczyt lokalnych plików

Nietypowy błąd na serwerach Facebooka umożliwiał odczyt lokalnych plików

Mimo iż firmy takie jak Facebook czy Google dbają o bezpieczeństwo swoich usług a codziennie w ramach programów bug bounty testują je setki jak nie tysiące osób, to nadal znaleźć w nich można ciekawe i oryginalne błędy. Poniżej opis jednego z nich.… Czytaj dalej

Uniwersytet Łowców Błędów

Google opublikowało bardzo ciekawy zestaw informacji dla łowców błędów pod hasłem Bughunter University (autorem strony jest nasz rodak, Krzysztof Kotowicz). Znaleźć tam można kilka zakładek, w tym instrukcję, czego nie zgłaszać do Google (np. błędów XSS wymagających własnoręcznej modyfikacji kodu w przeglądarce ofiary…) czy też bardzo ważną informację, jak poprawić jakość swoich zgłoszeń błędów.… Czytaj dalej

Zdalne wykonanie kodu na serwerach Facebooka za 33,5k USD

Zdalne wykonanie kodu na serwerach Facebooka za 33,5k USD

Możliwość zdalnego wykonania kodu jest jednym z rzadziej spotykanych i wyżej wycenianych rodzajów błędów w aplikacjach internetowych. Odkrycie takiego błędu na serwerach Facebooka jest bez wątpienia przypadkiem wartym bliższej analizy.… Czytaj dalej

Złam nasze szyfrowanie a dostaniesz 5% akcji firmy

Złam nasze szyfrowanie a dostaniesz 5% akcji firmy

Istnieją różne modele nagradzania odkrywców błędów w stronach czy programach. Niektóre firmy wypłacają nagrody, inne wręczają bony do swoich sklepików, a pewna firma postanowiła przekazać 5% swoich akcji osobie, która złamie jej system szyfrowania poczty.… Czytaj dalej

Bug bounty po polsku, czyli proponujemy pakiet Eurogąbek

Bug bounty po polsku, czyli proponujemy pakiet Eurogąbek

Od kilku lat duża część największych firm internetowych oferuje nagrody za odkrycie błędów w ich serwisach. W Polsce zwyczaj ten do tej pory się nie przyjął, a osoby zgłaszające błędy otrzymują czasem dość zabawne propozycje.… Czytaj dalej

Google zapłaci za wkład w bezpieczeństwo open source

Google własnie ogłosiło otwarcie nowego wariantu programu „bug bounty”.  Tym razem oferuje nagrody za wkład w zabezpieczenie wybranych rozwiązań opartych na otwartym kodzie źródłowym. Jeśli Wasza łata, poprawiająca bezpieczeństwo produktu poprzez np. dodanie dodatkowych mechanizmów zabezpieczeń zostanie przyjęta do projektu, to możecie otrzymać od $500 do $3133.7.… Czytaj dalej

Microsoft przyznaje $100,000 nagrody

Microsoft niedawno dołączył do programów typu „bug bounty”, jednak podszedł do nich trochę inaczej niż większość konkurencji. Co prawda płaci za odkryte błędy, ale tylko w ramach konkretnych akcji (obecnie tylko w Internet Explorerze 11 Preview). Główny nacisk programu położono na metody omijania podstawowych mechanizmów zabezpieczeń w najnowszej wersji Windows oraz tworzenie nowych mechanizmów zabezpieczeń.… Czytaj dalej

Easter Egg w programie Google Bug Bounty

Portugalskiemu poszukiwaczowi błędów wydawało się już, że właśnie odkrył XSS w formularzu zgłaszania błędów w programie Google Bug Bounty. O tym samym przekonał również co najmniej jeden poważny serwis (choć może to nie było na serio?) . Okazuje się jednak, że trafił tylko na Easter Egg, zostawiony przez zespół bezpieczeństwa Google :)

Czemu w odpowiedzi na alert(1) pojawia się 42?… Czytaj dalej

Zamieścił opis błędu w Facebooku na osi czasu Zuckerberga, nie dostanie nagrody

Zamieścił opis błędu w Facebooku na osi czasu Zuckerberga, nie dostanie nagrody

Czasem zbytni entuzjazm po odkryciu poważnego błędu i brak przestrzegania reguł programu współpracy z badaczami mogą drogo kosztować. Przekonał się o tym Palestyńczyk, którego odkrycie nie zostało zakwalifikowane do nagrody pieniężnej.… Czytaj dalej