LukaSafonov Jan 12 2023 at 13:37

Bug Bounty vs Penetration testing

5 min

4.9K

OWASP corporate blogInformation Security*Bug hunters*

Analytics

Comments 6

socketpair Jan 12 2023 at 14:08

Программа баг-баунти подразумевает большую маркетинговую и рекламную кампанию. пентестинг - нет.
Есть достаточно вымогателей и идейных "Спасибо за деньги, но если вы не исправите это за неделю - расскажу всем".
Если ранее программы баг-баунти не было - значит скорее всего в продукте есть много багов. Если сразу установить высокую цену - можно разориться. Если низкую - это выставить себя на посмешище. В итоге - как начать?

LukaSafonov Jan 12 2023 at 14:39

Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.
Я указал это в статье - "вымогательство вознаграждений".
Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.

r4ze Jan 12 2023 at 15:21

В своей практике я сталкивался с отчетами по пентесту, которые представляли из себя откровенный шлак

Понимаю, что шансов крайне мало, но всё же, может быть есть возможность показать подобный отчёт?

LukaSafonov Jan 12 2023 at 15:27

Отчеты под NDA, лучше писать нормальные, хотя бы по такому гайду: https://xakep.ru/2021/04/28/best-pentest-report/

avorsa Jan 12 2023 at 15:46

Можете подробнее осветить проблему "Слабые правовые гарантии" участника BB?
Кейс такой.
Белый багхантер нашел RCE, пока писал отчет и его триажили эксперты платформы, то за это время неизвестный взломщик прошел тем же путем и стащил БД. Клиент BB-платформы (по сути, заказчик пентеста) обращается в органы и к белому багхантеру приходят гости из органов просто поговорить. Понимаю, что доказательств никаких, но визит гостей удовольствия не доставит. Как белому багхантеру (параноику) обезопасить себя?
В некоторых программах видел, что в headers нужно добавить метки. Рассчитывать только на них считаю так себе защитой...

LukaSafonov Jan 12 2023 at 17:46

Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.

Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.