Domande con tag 'bug-bounty'

3
risposte

Quali società agevolano il pagamento in cambio della divulgazione delle vulnerabilità?

Se la richiesta di pagamento da parte di una parte interessata per la divulgazione di vulnerabilità è considerata estorsione, in che modo i ricercatori indipendenti in materia di sicurezza guadagnano da vivere o reddito collaterale dalla ricerca...
posta 25.05.2011 - 12:19
2
risposte

Come gestire la divulgazione responsabile "catturare e uccidere"

I miei colleghi e io abbiamo scoperto un importante problema di sicurezza in uno strumento di sicurezza informatica popolare, che andrà senza nome qui per ragioni che diventeranno evidenti. Abbiamo segnalato il problema al fornitore dello str...
posta 10.12.2018 - 23:08
3
risposte

Come lavorare efficacemente per vincere bug-bounties?

Voglio davvero mettermi alla prova (con i miei genitori) vincendo una buona taglia del bug How should I best prepare for this and go about actually finding bugs? Edit So can anyone give some web sites which I could read that would help...
posta 05.06.2014 - 00:45
1
risposta

Bounties dei bug - Shoud I report 0days in componenti di terze parti?

Supponendo che: Le vulnerabilità nei componenti di terze parti non sono esplicitamente escluse nell'ambito del programma. Il problema è riproducibile nell'obiettivo specifico. Devo segnalare il problema solo allo sviluppatore di terze p...
posta 30.03.2018 - 04:02
1
risposta

Che cosa sta cercando di fare questo utente?

Lavoro con un'azienda che crea software di marketing, di recente abbiamo creato un forum in modo da poter parlare con utenti che hanno bisogno di supporto. Sono l'amministratore principale di questo forum e un utente, chiamiamoli person1...
posta 12.04.2017 - 22:01
1
risposta

Quali sono alcune opzioni per una piccola azienda su un budget per mantenere un programma di bug bug? [chiuso]

Lavoro per una startup SaaS B2B che non ha molti soldi (siamo 6 persone, 2 sviluppatori, abbiamo circa 6 mesi di pista e $ 25.000 di entrate mensili, < 50 clienti). Un consiglio comune che ho visto per le piccole imprese / start-up è di "f...
posta 10.07.2017 - 16:59
1
risposta

Funzione di% 5c .. in un percorso trasversale

Recentemente ho trovato questo post di blog di una taglia del bug cacciatore. Apparentemente, è stata scoperta una vulnerabilità di attraversamento del percorso, che assomigliava a questa: http://help.example.com/@app/skin/views/%5c../%5...
posta 28.06.2017 - 07:25
3
risposte

Come dovremmo implementare internamente un programma di scoperta responsabile solo per i dipendenti della nostra organizzazione?

Abbiamo sperimentato un fenomeno molto interessante negli ultimi 6 mesi e cioè che alcuni dipendenti hanno trovato e segnalato ai nostri team di sicurezza alcuni problemi di sicurezza molto cruciali. Stavamo pensando di incoraggiare questo tipo...
posta 29.09.2018 - 14:24
2
risposte

Perché diversi bug bug ignorano l'enumerazione degli utenti?

Durante la visualizzazione dei bounty bug, ho notato che la maggior parte dei bug bounty elenca l'enumerazione degli utenti nell'elenco escluso. Ad esempio, per forzare brute account utente, i moduli password dimenticati rientrano generalmente i...
posta 31.05.2016 - 07:21
2
risposte

Contattare i clienti di software vulnerabili, è sbagliato?

Supponiamo che tu sia un ricercatore di sicurezza che trova vulnerabilità e segnala ai fornitori di provare a ricevere una taglia del bug. Se il venditore non è disposto a pagare alcuna taglia per qualsiasi vulnerabilità, semplicemente non rivel...
posta 27.02.2017 - 22:21