Preguntas con etiqueta 'bug-bounty'

3
respuestas

¿Qué compañías facilitan el pago a cambio de la divulgación de vulnerabilidades?

Si la solicitud de pago a una parte afectada directamente por la divulgación de vulnerabilidades se considera una extorsión, ¿cómo pueden los investigadores de seguridad independientes ganarse la vida o un ingreso adicional al investigar vulnera...
hecha 25.05.2011 - 12:19
2
respuestas

Cómo lidiar con la divulgación responsable "atrapar y matar"

Mis compañeros de trabajo y yo descubrimos un problema de seguridad importante en una herramienta popular de ciberseguridad, que no se identificará aquí por razones que serán obvias. Informamos el problema al proveedor de la herramienta a tra...
hecha 10.12.2018 - 23:08
3
respuestas

¿Cómo trabajar efectivamente para ganar recompensas?

Realmente quiero probarme a mí mismo (a mis padres) ganando una recompensa de errores adecuada    ¿Cómo debería prepararme mejor para esto y realmente encontrar errores?       Editar Entonces, ¿alguien puede proporcionar algunos sitios web...
hecha 05.06.2014 - 00:45
1
respuesta

Bug bounties - Shoud ¿Informe 0days en componentes de terceros?

Suponiendo que: Las vulnerabilidades en los componentes de terceros no se excluyen explícitamente en el alcance del programa. El problema es reproducible en el objetivo específico. ¿Debo informar el problema solo al desarrollador extern...
hecha 30.03.2018 - 04:02
1
respuesta

¿Qué está tratando de hacer este usuario?

Yo trabajo con una compañía que crea software de marketing, recientemente creamos un foro para poder hablar con los usuarios que necesitan soporte. Soy el administrador principal de este foro y, como usuario, llamémosle que person1 ha...
hecha 12.04.2017 - 22:01
1
respuesta

¿Cuáles son algunas de las opciones para una pequeña empresa con un presupuesto para mantener un programa de recompensas de errores? [cerrado]

Trabajo para una startup SaaS B2B que no tiene mucho dinero (somos 6 personas, 2 desarrolladores, tenemos aproximadamente 6 meses de pasarela e ingresos mensuales de $ 25K, < 50 clientes). El consejo común que he visto para pequeñas empres...
hecha 10.07.2017 - 16:59
1
respuesta

Función de% 5c .. en un recorrido transversal

Recientemente he encontrado esta publicación del blog de una recompensa de errores cazador. Aparentemente, se descubrió una vulnerabilidad de recorrido de ruta, que se parecía a esto: http://help.example.com/@app/skin/views/%5c../%5c../%...
hecha 28.06.2017 - 07:25
3
respuestas

¿Cómo debemos implementar un programa de descubrimiento responsable internamente solo para los empleados de nuestra organización?

Experimentamos un fenómeno muy interesante en los últimos 6 meses y es que algunos empleados encontraron y reportaron a nuestros equipos de seguridad algunos problemas de seguridad muy importantes. Estábamos pensando en fomentar este tipo de com...
hecha 29.09.2018 - 14:24
1
respuesta

¿Por qué varias recompensas de errores ignoran la enumeración de usuarios?

Mientras veía las recompensas de errores, noté que la mayoría de las recompensas de errores enumeran la enumeración de usuarios en la lista de exclusión. Por ejemplo, las cuentas de usuario de forzados brutos, olvidarse de los formularios de con...
hecha 31.05.2016 - 07:21
2
respuestas

Comunicarse con clientes de software vulnerable, ¿está mal?

Supongamos que usted es un investigador de seguridad que encuentra vulnerabilidades y las reporta a los proveedores para tratar de recibir una recompensa por errores. Si el proveedor no está dispuesto a pagar ninguna recompensa por cualquier vul...
hecha 27.02.2017 - 22:21