BugBounty

BI.ZONE Bug BountyПлатформа для проверки на прочность за гранью привычных практик

Платформа связывает компании и исследователей безопасностиЗдесь организации приглашают независимых специалистов протестировать защиту своей внешней инфраструктуры за вознаграждение. Это происходит в рамках багбаунти-программ, разработанных для поиска уязвимостей

Исследователям

Компаниям

Переход с сохранением рейтингаНе теряйте рейтинг, накопленный за рубежом, и продолжайте заниматься любимым делом. Чем выше рейтинг, тем больше возможностей присоединиться к приватным программам багбаунти!

Помощь со стороны BI.ZONE в сложных ситуацияхЕсли возник спор с компанией, смело пишите в нашу поддержку на bb@bi.zone или в Telegram @BizoneBugBountySupport — мы постараемся решить проблему

База знанийИзучайте открытые отчеты других независимых исследователей — багхантеров и повышайте свое мастерство

Комьюнити для обмена опытомПриходите на закрытые митапы, узнавайте новое в дружеской обстановке, участвуйте в конкурсах и других активностях для клуба единомышленников

Простая организация выплатПолучайте вознаграждение как физлицо, самозанятый или ИП, выводите деньги на карту или счет

Прозрачные коммуникацииСледите за тем, что происходит с отчетом, с помощью статусов в личном кабинете. Для общения с компаниями пригодятся комментарии: удалять их нельзя, так что никакие договоренности не пропадут

Удобное составление отчетовИспользуйте Markdown-разметку, чтобы описывать найденные уязвимости понятно и красиво. А еще в вашем распоряжении готовые шаблоны — они сэкономят время

Programs on the platform

Publications

Самозанятый багхантер: максимум выплат, минимум бумагПлатформа BI.ZONE Bug Bounty позволяет багхантерам легально искать уязвимости в компаниях и получать за это вознаграждение. Его размер устанавливает каждая компания индивидуально в зависимости от критичности уязвимости и ее импакта — на это мы не можем повлиять. Но при разработке своей платформы мы постарались учесть интересы исследователя и сделать для него процесс получения выплат максимально выгодным и удобным

Read

Месяц хардкорного багхантинга: запускаем BUGS ZONE!Представляем вам BUGS ZONE. Это две недели хардкорного багхантинга и закрытый митап в Москве с ограниченным количеством мест. Сдавайте баги на нашей платформе, попадайте в топ и встретимся на митапе 12 апреля :)

Read

Partners

ПОХЕК

Bounty On Coffee

Омский багхантер

SHADOW:Group

FAQ

Что считать багом?

Мы встречали случаи, когда под багом понималась любая ошибка на сайте: неработающая кнопка или неправильно поставленная запятая. Но в рамках багбаунти речь идет только об уязвимостях с точки зрения кибербезопасности. Например, это ошибки, приводящие к удаленному выполнению кода на узлах API. Где такие искать и какими еще они могут быть, подробно описано в каждой из программ, представленных в свободном доступе на платформе.

Нашлись критические уязвимости, но они не входят в скоуп. Мне за них заплатят?

Здорово, что получилось найти уязвимости, которые влияют на кибербезопасность компании! Но напоминаем: приносить баги в ресурсах вне скоупа — это риск. Компания может не платить за такие отчеты, так как не закладывала это в бюджет. А ваше время уже потрачено.

Что делать, если компания не хочет платить за найденную уязвимость?

В конфликтных ситуациях лучше приводить аргументы, а не давить на эмоции. Можно предложить пересмотреть размер награды. В любом случае не бойтесь обратиться в нашу поддержку к специалистам с независимой экспертизой в сфере ИБ. Мы поможем разобраться, ведь одна из целей площадки BI.ZONE Bug Bounty — построить максимально выгодное для всех взаимодействие. Для этого мы и выступаем арбитром в непростых ситуациях.

А багбаунти — это вообще легально?

Мы часто получаем этот вопрос от исследователей. Если багхантер действует так, как оговорено в программе, то все легально. А вот взлом инфраструктуры компании с использованием DDoS-атак или методов социальной инженерии запрещен в подавляющем большинстве случаев — это зафиксировано в условиях.

В каком формате предоставить репорт, чтобы точно получить баунти?

Наши разработчики постарались продумать все инструменты, необходимые для формирования отчета мечты. Используйте Markdown-разметку, чтобы описывать найденные уязвимости понятно и красиво. А еще в вашем распоряжении готовые шаблоны, которые сэкономят время. Обязательно вместе с репортом отправьте все подтверждения работы: скриншот, видеозапись PoC, скрипт или файл бурпа, который поможет компании проверить наличие уязвимости. Они покажут, что вы действительно проэксплуатировали уязвимость, причем сделали это как белый хакер. Чем больше таких доказательств, тем больше вероятность заработать вознаграждение. За теоретическую возможность эксплуатации вендор не платит, увы.

Багхантить с платформой могут только физические лица?

Нет. На выбор предлагаем три налоговых статуса. Можете заключить с нами договор гражданско-правового характера как физическое лицо. Но выгоднее быть самозанятым или ИП.

А чем отличается самозанятость от ИП?

ИП проходит государственную регистрацию, выбирает систему налогообложения и платит страховые взносы. Самозанятость проще. Она подходит тем, у кого уже есть основная работа, а багхантинг занимает свободное от нее время. Тут есть существенные плюсы: · Простое и быстрое оформление при помощи платежного провайдера «Консоль» займет всего 10 минут. Подробное описание процесса — в блоге платформы. · Для получения выплат подойдет обычный счет в банке — специальный расчетный счет не нужен. · Процесс уплаты налога автоматизирован благодаря интеграции с «Консолью».

Как изменить налоговый статус?

Если изначально вы зарегистрировались в «Консоли» как физическое лицо, а позже решили получать вознаграждение в другом статусе, не нужно удалять аккаунт или учетную запись. Дополнительное заявление на смену налогового статуса тоже писать не нужно. А вот обратиться в поддержку стоит. Опишите ситуацию, укажите Ф. И. О., отправьте письмо на почту bb@bi.zone или сообщение в Telegram @BizoneBugBountySupport. Мы поможем.

Баг найден. Что мне делать дальше?

В целом на нашей площадке процесс получения вознаграждения за баг выглядит так: 1. Вы находите баг и через платформу отправляете компании репорт. 2. Компания подтверждает баг и назначает награду в зависимости от его критичности. 3. Когда вы получаете уведомление о том, что компания готова выплатить вам баунти, регистрируетесь в сервисе «Консоль» и указываете реквизиты счета. Сделать это можно через настройки профиля на платформе или по ссылке. 4. После того как платежный провайдер вас верифицирует, вы через «Консоль» подписываете договор с BI.ZONE Bug Bounty, а также акт выполненных работ. 5. Выплата оказывается у вас на счете (обычно в течение 30 часов), а узнаете вы об этом (и не только) благодаря push-уведомлениям.

Не нахожу здесь ответ на свой вопрос. Кому его задать?

Нет предела совершенству. Мы стараемся рассказать все, но если вы прочитали наши рекомендации и не нашли ответ, то напишите в поддержку на почту bb@bi.zone или в Telegram @BizoneBugBountySupport.