10:05
7/11/2013

Do tej pory informowaliśmy Was o wielu programach typu bug bounty w poszczególnych firmach. Dziś mamy dobrą wiadomość — powstało “globalne” bug bounty dotyczące “całego” internetu.

HackerOne – Internet Bug Bounty

Ruszyła inicjatywa HackerOne, wspierana finansowo przez Facebooka i Microsoft. Komitet składający się z niezależnych badaczy bezpieczeństwa wybrał najbardziej istotne oprogramowanie wykorzystywane w internecie, które każdy z Was będzie mógł zaatakować, a po znalezieniu dziury i jej zgłoszeniu (w odpowiedni sposób) odebrać nagrodę pieniężną. No chyba, że jesteście z Kuby, Iranu, Północnej Korei, Sudanu albo Syrii… — wtedy nie możecie brać udziału w programie.

HackerOne

HackerOne – Internet Bug Bounty

I tak, wśród celów jest m.in. OpenSSL (od 2,500 USD za błąd), popularne języki programowania i framworki: Python, Django, Ruby, Rails i Perl (od 1,500 USD za błąd), oraz serwery WWW nginx i Apache (od 500 USD za błąd). Działy bezpieczeństwa poszczególnych “celów” mają 7 dni na zweryfikowanie błędu i jeśli go potwierdzą, 30 dni na załatanie. Po 30 dniach, błąd jest upubliczniany.

HackerOne wydaje się być niezłym dopełnieniem, jeśli nie odpowiedzią na podobną inicjatywę ogłoszoną niedawno przez Google. Google, jako autor popularnego programu bug-bounty Vulnerabilit Reward Program, od niedawna wypłaca nagrody (od 500 USD do 3133,7 USD) za patchowanie (nie tylko szukanie błędów!) popularnego oprogramowania (m.in. OpenSSH, BIND, ISC DHCP, libjpeg, Chromium, OpenSSL, KVM) — patche należy podsyłać bezpośrednio do danych projektów, a po nagrody zgłaszać się do Google, o ile patche zostaną zaaplikowane.

PS. Przypominamy, że listę indywidualnych firm, pozwalających się “hackować” w ramach własnych bug-bounty (czy to z nagrodami finansowymi, czy też bez żadnych nagród) można znaleźć tutaj.

Przeczytaj także:

24 komentarzy

Dodaj komentarz
  1. Na tej stronie: https://bugcrowd.com/list-of-bug-bounty-programs/ jeśli się na najnowszym Chrome zrezygnuje z newslettera znika scrollbar. Dość zabawne na stronie pomagającej szukać blędów. (ps. f5 pomaga)

    • Na Operze to samo.

    • Nie masz przypadkiem załączonego AdBlocka? Po dodaniu
      domeny do whitelist problem rozwiązany ;)

  2. Czyżby bug w stopce Niebezpiecznika?
    http://prntscr.com/22h8n7

    • Look deeper…

    • Use the force luke ;)

    • Zobacz co to znaczy w PHP

    • Ale ja nie musze analizować kodu PHP, od tego jest serwer i potem przegladarka ;)
      Pytanie dlaczego pluje kodem a nie datą? :)

    • Zakładam, że to taki branżowy żarcik ;) “Od 2009 do teraz” ;)

    • @Sukuremu

      Nie pluje kodem… Przyjrzyj się…

      Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

    • I jeszcze odpowiedziałem w złym “wątku” :>
      Nie jestem programistą, nie znam składni PHPa więc nie wiem czy to jest jakikolwiek poprawny kod, wydawało mi się że jest to niezaplanowany wyciek ze źródła :)

    • Hehe to na pewno nie jest pomyłka tylko taki żarcik twórcy strony :)

    • @Konrad, @Sukuremu, @Tomasz:
      Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

    • @Konrad, @Sukuremu, @Tomasz:
      <i>Wszelkie prawa zastrzeżone © 2009- echo date("Y");</i hint="ciekawe kto to zauwazy i czy napisze nam maila…">

    • W Firebugu podpowiedzi nie widać ;)

    • @Konradzie, Powinieneś się cieczyć. Mogło być gorzej.
      Mogli np. dać w stopce:

    • @Konradzie, powinieneś się cieszyć. Mogło być gorzej. Mogli dać w stopce: echo intval(intval(’40 dni i nocy nam stukło’)/2).sqrt(intval(‘100 lat!’))-intval(‘1 rok do przodu’).’-‘.date(‘Y’);

  3. hmm, no nie wpadł bym na to ;P
    przez czytanie niebezpiecznika stałem się wyczulony na takie “niby nic” i nie załapałem żartu :) było tu wiele przykładów niesmiesznych sytuacji wynikających z niedopatrzeń ;P

  4. popularne języki programowania i
    framworki: Python, Django, Ruby, Rails i Perl

    Chyba Wam się zapomniało o PHP. ;)

    • @Luke, chyba jednak nie.
      Mimo, iż sam zawodowo kodzę w PHP-ie to jednak muszę powiedzieć, z całą moją sympatią do pehapa, że typowo językiem programowania to on nie jest, bardziej skryptowania. Popularny jest owszem, a i targetem jest niezłym bo w tym języku wiele rzeczy przeczy logice i omija pewne aspekty. Przez to koderzy nie przykładają zbytnio uwagi do pewnych zasad i na 100 appek napisanych w PHP, 80% z nich to śmiech i bajzel, który złamać można w kilka sekund, na prostą logikę, bez żadnych expoitów. Taka prawda – znam PHP lepiej niż pacierz i mogę powiedzieć, że naprawdę wiele stron jakie sobie czasem sprawdzam dla zabawy jest tak źle napisanych, że czasami aż nie wierzę. Ale to właśnie wina twórców – to miał być w zamyśle prosty język, bardzo uproszczony i w istocie taki właśnie był. Niestety taka koncepcja rozleniwiła co niektórych i teraz są efekty. Dziękuję, dobranoc.

    • @szczyglis pieprzysz głupoty…

  5. Chyba jestem w depresji, bo pierwsze co mi przyszło do głowy to “jak się rozliczyć przed polskim fiskusem z takiej nagrody”.

    • Jak to jak ? 18% z 80%.

    • Dlaczego akurat 20% kosztów ? To nie jest umowa zlecenie ani o dzieło. Bug bounty to “przychód z innych źródeł”.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.