Компания Uber пополнила ряды компаний, имеющих собственные программы поощрения исследователей за найденные уязвимости. В Uber планируют проводить специальные трехмесячные сезоны поисков багов, первый из которых стартует 1 мая 2016 года.

Каждый сезон поиска уязвимостей будет длиться на 90 дней. Если за этот отрезок времени кто-то из исследователей сумеет обнаружить более 4 проблем в сервисах компании, в Uber готовы выплатить ему бонус в виде дополнительных 10% от средней цены первого обнаруженного в сезоне бага.

В прошлом году Uber уже проводила своего рода закрытый бета-тест своего bug bounty, пригласив 200 специалистов по информационной безопасности и позволив им, при закрытых дверях, внимательно изучить как фронэнд, так и бэкэнд своего ПО. По окончании эксперимента было обнаружено около 100 различных проблем, так что затея была признана удачной.

В качестве отправной точки для поисков уязвимостей исследователям предложено воспользоваться «картой сокровищ» — страницей, на которой собрана подробная информация обо всех сервисах Uber, участвующих в программе вознаграждений. Также здесь перечислены некоторые типы багов, которые компания готова принять к рассмотрению. Среди них числятся: SQL-инъекции (SQLi), исполнение произвольного кода на стороне сервера (RCE), Cross-site Scripting (XSS), Cross-site Request Forgery (CSRF), атаки XML External Entity (XXE), Open Redirect уязвимости и многое другое.

Размер вознаграждений за обнаруженные баги варьируется от $3000 до 10000. Более детальная информация доступна на странице Uber на HackerOne.

Фото: Mark Warner



Оставить мнение