Компания
217,07
рейтинг
19 марта 2013 в 13:16

Разработка → Проверь Badoo на прочность! Месяц поиска уязвимостей

Компания Badoo, вслед за своими коллегами ― крупнейшими представителями IT-индустрии, такими как Google, Facebook и Яндекс, начинает платить за найденные уязвимости. Мы объявляем конкурс «Проверь Badoo на прочность!», который стартует 19 марта и продлится ровно месяц.

Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo. Каждый участник может отправить любое количество заявок.
Участники обязуются сохранять найденные уязвимости в тайне до тех пор, пока Badoo не сообщит об их исправлении в таблице заявок, но не дольше чем до 31 мая 2013 года.
Мы платим за все найденные новые уязвимости.
Уязвимости будут ранжированы от 5-й (500 фунтов стерлингов) до 1-й категории (50 фунтов стерлингов) в зависимости от их критичности. Категорию критичности определяет жюри конкурса.

К тому же у нас есть специальный приз! По итогам конкурса 3 самых активных участника получат по 1000 фунтов. Если вы нашли что-то очень серьезное, то мы можем выдать супер-премию выше 500 фунтов.

Где искать уязвимости:


badoo.com, eu1.badoo.com, us1.badoo.com и corp.badoo.com.
В конкурсе не участвуют мобильные версии сайта и приложения для социальных сетей.

Призы и категории


5 категория — 500 фунтов стерлингов;
4 категория — 300 фунтов;
3 категория — 150 фунтов;
2 категория — 100 фунтов;
1 категория — 50 фунтов

Мы не хотим привязывать наши категории к традиционным системам оценки уязвимости. Чем больший ущерб может причинить найденная уязвимость, тем она для нас ценнее и тем более высокую категорию мы ей присвоим.

Как мы присуждаем категории


Чтобы было проще, мы хотим сориентировать вас и рассказать, как будут присваиваться категории.

  • По нашему опыту, большинство уязвимостей, которые находят извне, относятся к категории HTML- или XSS-инъекций. Если найденной уязвимостью вообще нельзя причинить какой-то ущерб (например, можно только изменить вывод страницы), то она получит самую низкую 1-ю категорию.
  • Более опасны SQL-инъекции. Допустим, вы нашли уязвимость которая «ломает» SQL-запрос, но единственным результатом является лишь неверный показ контента на сайте. Скорее всего, такая уязвимость получит лишь 2-ю категорию.
    Однако, если при помощи SQL-уязвимости злоумышленник может получить доступ к каким-то данным одного или нескольких пользователей, эта уязвимость может получить даже 5-ю категорию.
    Если с помощью уязвимости можно обновить данные в профиле пользователя, то в зависимости от того, насколько эти данные критичны, мы можем присвоить более высокие категории, вплоть до 5-й.
  • Также опасны CSRF-уязвимости, но категория будет тем выше, чем больше может оказаться причиненный ущерб.

И не забывайте, что Badoo может выдать супер-премию выше 500 фунтов, если вы нашли что-то очень серьёзное.

Мы заботимся о том, чтобы


  • участники получали быструю обратную связь;
  • участники могли отслеживать свои заявки и видеть, какие уязвимости уже устранены;
  • авторы заявок, прошедших одобрение, получали приз ДО того, как уязвимость будет устранена;
  • выплата денег проходила быстро и без бюрократической волокиты.

Процесс выглядит так


  • Участник отправляет заявку через форму с подробным описанием уязвимости, шагами по воспроизведению и скриншотами/файлами (по желанию). Заявка должна содержать достаточно информации для воспроизведения уязвимости.
  • Если форма заполнена верно, то высвечивается сообщение о том, что все хорошо и репорт улетел к нам.
  • В течение 3 рабочих дней мы разбираем заявку и решаем, является ли найденное новой уязвимостью. По итогам автору приходит ответ на почту.
  • Если мы принимаем заявку, то она появляется в таблице «Состояние заявок» со статусом «В процессе».
  • Если ваша заявка получила статус «В процессе», то с вами в течение недели связывается наш представитель и договаривается о переводе денег. Это происходит независимо от того, устранена ли уязвимость или нет.
  • Когда уязвимость устранена, в таблице появится описание уязвимости и статус “Решено”. До этого момента участник не имеет права рассказывать об уязвимости.

Включиться в игру>>>>>>



Жюри конкурса


Евгений Соколов
Глава разработки Badoo Development

В Badoo пришел в 2012 году. До этого работал в Google Moscow на должности руководителя команды инженеров в Москве. В 2010 году возглавил Google's Moscow Engineering Centre.
До работы в Google разрабатывал финансовые системы и основал несколько небольших компаний. Имеет степень Ph.D. университета Stony Brook.

Алексей Рыбак
Заместитель главы разработки Badoo Development


Разработкой веб-проектов занимается с 1999 года. Основное направление работы в последние годы — массовые социальные сервисы, фото- и видео-хостинг, знакомства. Принимал участие в разработке проектов badoo.com — 172 000 000 пользователей, mamba.ru, ДИВ ВГТРК, Мемонет.
В 1999-м году с отличием окончил физический ф-т МГУ.

Павел Довбуш
Руководитель отдела клиентской разработки Badoo Development


Занимается непосредственно разработкой на языке JavaScript в качестве главного разработчика.
Специализируется в первую очередь на архитектуре и оптимизации крупных веб-приложений.

Илья Агеев
Руководитель отдела тестирования Badoo Development


Руководит процессами тестирования и выкладки. До Badoo работал в Бегуне.
Автор: @Badoo
Badoo
рейтинг 217,07

Комментарии (46)

  • +6
    «Участвовать могут все, кроме сотрудников Badoo.»

    Нуууу воооооот :-(
    • +6
      Сотрудники обязаны честно зарепортить багу :)
    • 0
      У тебя есть что-то, что ты забыл зарепортить?
      • 0
        Скорее не забыл а припрятал к началу конкурса. Но не тут то было :)
        • +25
          Скорее даже не припрятал, а сделал.
          • +3
            А так же предложил идею конкурса? ;-)
    • +1
      Расскажите кому-нибудь другому, а потом на двоих разделите вознаграждение)
      • +2
        У него вычтут больше чем он заработает :).
  • +9
    500 британских фунтов = 23 258.1461 российских рубля
  • 0
    А страничка с благодарностями будет? :)
    • +2
      Будет таблица с именами тех, чьи заявки в работе или уже пофикшены.
      И отдельно сделаем страницу и пост с благодарностью. Но только с именами, не хотим светить e-mail участников.
  • +4
    А супер-премия за найденные уязвимости будет вычитаться из заплат сотрудников, которые работали над сервисами? ;-)
  • 0
    В тред приглашается Chikey!
    Как думаешь, найдётся что-нибудь? Будешь участвовать?
    • 0
      У нас PHP, только тихо только тихо только тихо.
    • 0
      Он read-only почему-то
    • +1
      Он пока с нами не справился, а обещал ОАус похакать нам… 8)
  • +1
    Тестеров Баду будут «вжаривать» на эти деньги и платить их тому, кто нашел баги на сайте )
  • +2
    HATER-MODE:ON
    А не санкционированное пользователем использование его персональных данных для рассылки спама уже счита́ется багом? А то давно компанией не интересовался.
  • 0
    Подскажите, какую вы БД используете?
    • +3
      PHPDB
      • +1
        Простите за ОФФтоп, но вспомнилось про хацкера, звонящего в техподдержку Касперского
        • 0
          Там тоже было не плохо.
    • +2
      Лучше бы спросили, какая БД не используется.
  • 0
    При попытке зарегистрироваться перебрасывает на badoo.com/static/error-server.html
  • +4
    Отправил парочку. Может как будет время еще погляжу.
    • +2
      Ничего себе. Отправил репорты днем и один из них уже был 57 по счету.
      Хабр неплохая краудфандинговая платформа для поиска багов. Каждый раз как я публикую здесь свои маленькие приложения, мне становится страшно глядеть в логи.
  • 0
    У вас хороший сайт :)
    Жаль что не на dating.ru или kisses.ru, вот там уже удалось найти особо не напрягаясь.
  • +2
    Как вы поступите, если несколько человек найдут одну и ту же уязвимость?

    Если премию получит только первый — нечестно и возможно подозрительно для того, кто получит отказ из за дубликата.
    Если все, кто прислал — то это повод запостить уязвимость несколько раз и получить приз несколько раз.
    Единственный «безобманный» способ — держать все найденные уязвимости публично — но это не вариант.

    • 0
      Если премию получит только первый — нечестно и возможно подозрительно для того, кто получит отказ из за дубликата.

      Отчего ж нечестно? — Как и во многих конкурсах выигрывает самый быстрый среди правильных.
      Подозрительно? — Это извечный вопрос доверия. В данном случае — доверия членам жюри или компании в целом. Честно говоря, ради нескольких тысяч рублей я бы не стал рисковать своей репутацией или авторитетом. Оно того не стоит.
      • 0
        Да, я понимаю что из трёх вариантов выбран первый.
        Конечно же я не думаю, что Badoo ради нескольких тысяч будет портить карму на хабре.
        Комментарий задумывался с юмористическим оттенком и закосом в сторону «поиска уязвимости»

        Но, «в каждой шутке есть доля шутки», при таком раскладе на простые уязвимости за 50 фунтов вообще не нужно обращать внимание, тк велика вероятность что их уже до меня запостили и я ничего не получу. Можно рискнуть своим временем, и пойти дальше — но риск потратить впустую день из за 100 фунтов всё таки велик.

        Это не утверждения, а догадки.

        Если у вас есть доступ к БД текущих уязвимостей, не могли бы вы сказать сколько из них дублируется?
    • 0
      Если репорт про уязвимость дублируется, то деньги за за него получает только первый участник.
      Как только мы фиксим уязвимость, на сайте в таблице появляется его имя с описанием уязвимости и дата создания тикета.
      Мы думаем, что это сделает процедуру более прозрачной.
      • +1
        Да, достаточно прозрачно.

        Стоит сразу же извещать автора, как только его тикет признан дубликатом, до его официального фикса и появления на сайте. (Может оно так и работает уже)
  • 0
    в вашу форму для отправки репорта файлы как-то кривовато цепляются — не всегда есть кнопка прикрепить еще один файл, плюс автоответа пока так и не пришло 2м человекам

    З.Ы. а еще там сама форма на странице без https ;)
    • 0
      Добрый день!

      Автоответ высвечивается при отправке формы.
      А ответ каждому участнику мы отправляем руками, т.к. нам нужно немного времени на то, чтобы понять уязвимость ли нам прислали или нет.
    • 0
      Чтобы не вводить никого в заблуждение, заменили в описании автоответ на: «Если форма заполнена верно, то высвечивается сообщение о том, что все хорошо и репорт улетел к нам».
  • –4
    И тут началось: разрабы делают уязвимости, сообщают свои знакомым, подкупают тесторов, а тикеты с уязвимостями плодятся. Это же Россия ;)
    • 0
      Это не так, уверяю вас
      • 0
        попробуй докажи это хомячкам
  • 0
    Запустили таблицу, в которой будет появляться информация по устраненным уязвимостям и заявкам, которые взяли в работу: corp.badoo.com/security
  • 0
    Уточняющий вопрос: если в таблице стоит статус «Решено», эта уязвимость реально пофикшена? Я к тому, имеет ли смысл проверять, например, как вы пофиксили чужие уязвимости, для которых стоит такой статус с зеленой галкой. Может, есть какой-то другой способ обойти фикс и т.п.
    • +2
      Да, это значит, что уязвимость пофикшена. Но это не значит, что не нужно ее проверять или искать способ обойти фикс. Если Вы найдете такой способ, то мы можем засчитать это как новую уязвимость.
  • 0
    Есть небольшое предложение, если не сложно: разослать в конце конкурса всем нашедшим уязвимости, что-то в духе благодарственного письма. Нашедшим приятно, плюсик в пацанскую карму и резюме пентестера.
    • +1
      Да, конечно! С удовольствием это сделаем.
  • +11
    Я вместо уязвимости женщину себе нашел. Спасибо ребят!
    • 0
      Ура! Обращайтесь:)
    • 0
      Мне бы так…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка