Size: a a a

2020 May 28

VP

Vladimir 0D0A Polyak... in WebPwnChat
яндекс вроде исправляется
источник

R

Ramazan in WebPwnChat
Яндексом 99% недовольны))
источник

P

Polimer in WebPwnChat
Vladimir 0D0A Polyakov\x00
а если ты заполнял секьюрити бэкграунд чек на h1, то она уже есть. Она и без него есть в виде НДА, просто привлечь сложно, и макс что можно сделать, это забанить на платформе
Вот именно, ничего кроме бана сделать не могут.
источник

P

Polimer in WebPwnChat
Вангую что врядли что-то получится сделать ибо компании это прибыль для h1, могут обидеться и уйти
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
Polimer
Вот именно, ничего кроме бана сделать не могут.
а вот не уверен, по секьюрити бэкграунд чеку (это тот что дает галочку рядом с аватаркой) ты там подписываешь ряд вещей, за которые попади ты в США, можешь огрести за нарушение
источник

R

Ramazan in WebPwnChat
Polimer
Вот именно, ничего кроме бана сделать не могут.
Ну встанешь в топ 10, то можно будет и права качать, а пока нам, простым смертным, нужно довольствоваться тем, что есть)
источник

P

Polimer in WebPwnChat
Vladimir 0D0A Polyakov\x00
а вот не уверен, по секьюрити бэкграунд чеку (это тот что дает галочку рядом с аватаркой) ты там подписываешь ряд вещей, за которые попади ты в США, можешь огрести за нарушение
Просто интересно, сколько примерно (в процентах) "верефицированных" юзеров. Сам в бб не сижу
источник

SB

Sergey Belov in WebPwnChat
много раз отметили, это же открытый рынок, не нравится как работает компания ХХХ - не принимай у нее участие
источник

R

Ramazan in WebPwnChat
Sergey Belov
много раз отметили, это же открытый рынок, не нравится как работает компания ХХХ - не принимай у нее участие
Мне нравится как работает маил)
источник

SB

Sergey Belov in WebPwnChat
это же как магазин, если в дикси всегда срач и жесть - не ходишь в дикси
или ходишь, потому что он ближе всего )
источник

SB

Sergey Belov in WebPwnChat
Ramazan
Мне нравится как работает маил)
спасибо 🙂
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
https://hackerone.com/reports/835005

вот кстати показательный репорт, там чел сдал похожие баги, в одну и ту же программу, но одну оценили как лоу, вторую как хай. Он прямо тут запросил remediation, но результат мы видим
источник

SB

Sergey Belov in WebPwnChat
с точки зрения компании - если она увидит, что она теряет багхантеров у нее много вариантов
- забить на свои процессы и просто дальше винтить цены вверх, например
- пересмотреть свои процессы и стать лучше
- забить на бб программу, везде люди и везде бывают факапы
источник

R

Ramazan in WebPwnChat
Sergey Belov
с точки зрения компании - если она увидит, что она теряет багхантеров у нее много вариантов
- забить на свои процессы и просто дальше винтить цены вверх, например
- пересмотреть свои процессы и стать лучше
- забить на бб программу, везде люди и везде бывают факапы
А бб вообще оправдывает себя? Если не делать, а просто на пентестах жить, будет хуже? Или дорого?
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
Polimer
Просто интересно, сколько примерно (в процентах) "верефицированных" юзеров. Сам в бб не сижу
достаточно много, бэкграунд чек может пройти почти любой. Делается в рамках попытки HackerOne стереть грань между пентестом и багбаунти. Многие серьезные клиенты не готовы работать в рамках текущей схемы багбаунти, они хотят чтобы хантеров сначала проверили на криминал, потом чтобы в доках была четко обозначена ответственность за нарушения при тестировании
источник

SB

Sergey Belov in WebPwnChat
Ramazan
А бб вообще оправдывает себя? Если не делать, а просто на пентестах жить, будет хуже? Или дорого?
Багбаунти полностью себя оправдывает. Это hard requirement для любой современной компании, если нет открытой и публичной бб программы и компания крупная - с ней что-то не то в разрезе безопасности. Как бы не казалось, пентесты решают схожую, но другую задачу. Например бб может ответить на вопрос, сколько стоит критичная уязвимость в компании. Выставляем цену в 20к долларов, если присылают раз в 3 месяца - значит примерно столько и стоит. Присылают чаще - значит стоит дешевле, меньше - дороже
Пентест отвечает на вопрос, что Х часов специалистов такого-то уровня могут найти столько-то проблем. Плюс с пентестов можно запросить отчет и понять, что проверенно, что нет, с багхантертов это не спросишь
источник

SB

Sergey Belov in WebPwnChat
поэтому сравнивать багбаунти и пентесты не стоит
источник

BF

Billy Fox in WebPwnChat
Это баг баунти-то оправдывает себя?)
источник

SB

Sergey Belov in WebPwnChat
более чем)
источник

BF

Billy Fox in WebPwnChat
Ну для компаний - да, оправдывает, если они готовы на это деньги сливать. А вот для вольных хакеров вообще нет
источник