HackrBlog | Thomas - 14.9.2017

MITEN BUG BOUNTY KÄYNNISTETÄÄN?

Kiitoksia päätöksestäsi lähteä mukaan bug bounty -ohjelmaan! Tai ainakin kiinnostuksestasi käynnistystä kohtaan. Kun saamme sinulta ohjelmalle ylöspäin osoittavan peukun, käynnistetään ohjelman ensimmäinen vaihe: valmistelu. Valmisteluvaiheessa määritellään neljä asiaa:

  • Ohjelman kohde eli mihin palkkio-ohjelma kohdistuu. Onko kyseessä vain sovellus vai ovatko palvelinpuolen ongelmat ohjelmassa mukana. Onko kyseessä järjestelmäkokonaisuus ja jos on niin miten se rajataan? Perusajatuksena on se, että palkkiota ei saa ohjelman kohteen ulkopuolisista havainnoista, vaikka ne olisivatkin oikeita haavoittuvuuksia.
  • Ohjelman säännöt eli mitä tutkija saa ja ei saa tehdä ongelmaa etsiessään. Onko joitakin tutkimusmenetelmiä tai haavoittuvuusluokkia rajattu kokonaan pois (esimerkiksi palvelunestohyökkäykset)? Sääntöjen tulee olla selkeät ja yksikäsitteiset, mutta liian tiukat ja hankalat rajoitukset vähentävät mielenkiintoa ohjelmaan. Palkkiota ei makseta jos voidaan todentaa, että tutkija on menetellyt sääntöjen vastaisesti haavoittuvuutta etsiessään.
  • Palkkiokategoriat. Tyypillisesti haavoittuvuuksia on monen eri tasoisia pienistä teknisistätietovuodoista, asiakkaiden nimien paljastumiseen ja ylläpitäjäoikeuksien saamiseen palvelimelle. Tyypillisesti palkkiokategorioita on kolmesta neljään, ja niille sovitaan paitsi palkkion suuruus, myös millaisin kriteerein haavoittuvuus sijoitetaan mihinkin kategoriaan.
  • Prosessi Hackrfi:n ja sinun välilläsi. Eli kun me saamme haavoittuvuusraportin, niin keille me välitämme sen tarkastuksen jälkeen ja millä tavoin? Olennaista on myös se, kuinka nopeasti voimme odottaa vastausta. Viimeinen prosessiasia on se, miten palkkionmaksutilanteessa toimitaan.

Kun nämä asiat on sovittu, laadimme juuri tälle ohjelmalle hackr.fi:n alle oman WWW-sivun, jossa riittävät tiedot ohjelmasta on näkyvillä.

Samalla sovitaan ohjelman aloituspäivä ja siitä, miten listoillamme oleville tutkijoille ilmoitetaan.

Kun käynnistyspäivä koittaa, olemme valmiina ottamaan vastaan haavoittuvuusraportit. Tyypillisesti ensimmäiset raportit tulevat sisään 24h kuluessa, koska palkkioita maksetaan vain ensimmäiselle ongelman löytäjälle...

Aiemmat blogikirjoituksemme

Ilmoittaudu HackrBlogin postituslistalle

Jätä sähköpostiosoitteesi, niin ilmoitamme, kun uusi blogikirjoitus on julkaistu