Вселенная Bug Bounty

Bug bounty: внешняя проверка сервиса

Bug bounty начинается с правил: что можно проверять, куда отправлять отчет, кто подтверждает находку, кто исправляет проблему и когда платят.

Открыть полную версию Открыть исследование
!
?
$
your.app
Исследователь нашел дыру
Triage проверил отчет
Поток должен идти через правила, SLA и ответственного владельца

Как это работает

Внешний специалист проверяет только разрешенные цели и получает выплату за подтвержденную уязвимость.

1

Правила

Компания описывает область проверки: домены, API, мобильные приложения, ограничения и размер выплат.

2

Поиск

Исследователь тестирует разрешенные цели. Правила ограничивают DoS, спам и работу с чужими данными.

3

Отчет

Он отправляет шаги воспроизведения, риск и доказательство с минимальным доступом к данным.

4

Проверка

Triage проверяет отчет, отсеивает дубликаты и слабые находки. Подтвержденная проблема уходит в задачу разработчикам.

5

Fix и выплата

Команда чинит, отчет ретестят, исследователь получает bounty.

Что нужно владельцу сервиса

Платформа может дать прием отчетов, triage, выплаты и пул исследователей. Исправления и решения остаются на вашей стороне.

1
Список целейКакие домены, API, приложения и аккаунты можно проверять.
2
Правила игрыОграничения, safe harbor, работа с данными, требования к отчету.
3
ОтветственныеКто принимает отчет, кто чинит, кто решает спор по критичности.
4
ДеньгиБюджет на платформу, выплаты и запас под критические находки.
5
SLAКогда отвечаете, когда проверяете, когда платите.
6
Процесс ремонтаОтчет должен стать задачей в Jira/GitHub и дойти до релиза.

С чего начинать

Публичную программу стоит открывать только после проверки процесса на малом потоке отчетов.

Стартуйте с VDP

Сделайте страницу `/security`: что можно проверять, куда отправлять отчет, какие действия ограничены. На этом этапе подходит VDP с благодарностью вместо денежных выплат. Цель: научиться принимать и чинить уязвимости.

  • 1 владелец процесса
  • область проверки на 1 страницу
  • первый ответ за 2-5 дней

Что делают крупные компании

Они делят программы по продуктам, рискам и типам активов.

Google

Свои VRP по направлениям. У Google Cloud верхняя награда указана как $101,010.

Microsoft

Много отдельных программ: Azure, Edge, Identity, Xbox и другие продукты.

Apple

Высокие выплаты за сложные цепочки атак на устройства и экосистему.

Meta

Facebook, Instagram, WhatsApp, Quest, AI и open source идут отдельными зонами.

Кто помогает запустить

Сравнивайте пул исследователей, triage, выплаты, хранение данных, SLA и уровень white-label.

HackerOneVDP, private, public, managed triage
форма на сайте
Форму можно встроить на сайт. Рабочий процесс остается на HackerOne.
BugcrowdBug bounty, VDP, managed triage, VRT
форма на сайте
Форма может быть на вашем сайте. Обработка остается на стороне Bugcrowd.
Intigriti / YesWeHackЕвропейские private и public программы
private-label
Хороши для EU-контекста, privacy и управляемого запуска.
SynackПроверенные исследователи, закрытый доступ
private
Подходит банкам, enterprise и чувствительным активам.
BugVaultЗаявляет портал под брендом клиента
заявленный полный white-label
Нужно проверить референсы, SLA, выплаты, KYC, безопасность и зрелость пула исследователей.
HyperCrackers / IntegSecОперационное ведение и triage
white-label service
Сервисная модель: провайдер ведет процесс от имени клиента.
Immunefi / HackenProof / CantinaWeb3, smart contracts, DeFi
vertical
Брать, если у вас протокол, кошелек, bridge или smart contracts.

Краткая рекомендация

Для обычного SaaS, мобильного приложения или web-сервиса лучше начинать с ограниченного формата.

A

Нормальный путь для большинства

  • VDP на своем сайте.
  • Private bug bounty на 20-100 исследователей.
  • Managed triage, если нет сильной AppSec-команды.
  • Public launch после 2-3 месяцев со стабильным SLA.
B

Когда нужен white-label

  • Нужно, чтобы исследователь видел ваш бренд и домен.
  • Вы MSP и ведете такие программы для клиентов.
  • Есть жесткие требования к данным, региону или контрактам.
  • Готовы глубже проверять поставщика.

Главная мысль: bug bounty работает там, где компания умеет принимать отчеты, проверять их и исправлять уязвимости. Платформа помогает с процессом, но ответственность за продукт остается у компании.

Полная версия

В полной версии есть расширенные таблицы, список провайдеров, источники, RFP-чеклист и полный отчет.

Базовые источники