Как заработать на #BugBounty компаниям и исследователям | Подкаст ОБИБЭ, выпуск №1

Начинаем новый видеокаст о практической B2B кибербезопасности или, короче говоря, Подкаст ОБИБЭ. В первом выпуске говорим про Bug Bounty программы — что они дают компаниям и багхантерам. За столом: Владимир Дащенко, эксперт кибербезопасности в Kaspersky ICS CERT Андрей Лёвкин, старший специалист управления анализа защищенности и идейный вдохновитель платформы . Филипп Никифоров, старший специалист группы исследований безопасности мобильных приложений, Positive Technologies Алексей Гришин, руководитель отдела Bug Bounty VK Версия подкаста с невошедшими техническими подробностями: Андрей Лёвкин в Telegram: Филипп Никифоров в Telegram: Алексей Гришин в Telegram: Таймкоды 0:00 Мы — подкаст ОБИБЭ 0:26 Знакомство 1:16 Что такое Bug Bounty 3:53 Жить на BB реально? 5:04 Зачем компаниям делать BB 7:19 Как определить скоуп 8:38 Кого зовут в приватки 10:02 Какую платформу BB выбирать 12:08 Заработок на одних XSS 13:35 Пару слов про автоматизацию BB 14:13 Какие компании выходят на BB 16:14 Откуда пошло BB 18:26 Как взламывают Пентагон 19:47 1 day и 0 day в приватках 22:03 Как отрабатывать проникновение 25:34 Модерация BB и споры с вендором 27:15 Вендоры отрицают косяки? 30:14 Рекомендации вендорам при выходе на BB 32:22 Легальные выплаты или эксплойт-брокеры? 38:04 Хедхантинг на багхантеров 40:52 Угон трактора и BB для IoT 43:27 Репортить если out of scope? 45:17 Почему душнят хакеры? 48:07 Кстати о пылесосах 50:19 Средние выплаты в BB 52:32 Как разработчику и исследователю войти до BB 56:38 Всем спасибо, ждем вас снова Полезные ссылки багхантерам: Программа Bug Bounty «Лаборатории Касперского»: Bug Bounty платформа Bug Bounty платформа Standoff 365 #bug-bounty Bug Bounty программа VK на Блог Фила «Пост Импакта» PortSwigger блог Блог PT SWARM Yet another hacker в Телеграм Блоги Сергея Боброва Блог Сергея Тошина Блог Антона Лопаницына Блог Влада Вектора Блог и гит Пола Акса Блог Антона Субботина Гит Сергея Орлова