Google、Facebook、YandexなどのIT業界の最大の代表であるBadooは、同僚に続き、見つかった脆弱性の代価を支払い始めます。 3月19日に開始され、ちょうど1か月続くコンテスト「Test Badoo for Strength!」を発表します。
Badooの従業員を除き、誰でもコンテストに参加できます。 各参加者は、任意の数のアプリケーションを送信できます。
参加者は、Badooがアプリケーションテーブルで修正を通知するまで、発見された脆弱性を秘密にしておく義務がありますが、2013年5月31日までです。
見つかったすべての新しい脆弱性に対して支払いを行います。
脆弱性は、その重大度に応じて、5番目( 500ポンド )から1番目のカテゴリ( 50ポンド )までランク付けされます。 重大度カテゴリはThe審員によって決定されます。
さらに、特別賞もあります! コンテストの結果によると、最も活発な3人の参加者には1,000ポンドが与えられます。 非常に深刻なものを見つけた場合は、500ポンドを超えるスーパーボーナスを提供できます。
脆弱性を探す場所:
badoo.com 、 eu1.badoo.com 、 us1.badoo.comおよびcorp.badoo.com 。
競争には、モバイルバージョンのサイトやソーシャルネットワークのアプリケーションは含まれません。
賞品とカテゴリー
カテゴリー5-500ポンド ;
カテゴリー4-300ポンド ;
カテゴリー3-150ポンド ;
カテゴリー2-100ポンド ;
カテゴリー1-50ポンド
カテゴリを従来の脆弱性評価システムにリンクしたくありません。 発見された脆弱性がもたらす損害が多いほど、それは私たちにとってより価値があり、より高いカテゴリを割り当てます。
カテゴリの授与方法
それを簡単にするために、私たちはあなたを方向づけて、どのようにカテゴリが割り当てられるかを教えたいです。
- 私たちの経験では、外部で発見されたほとんどの脆弱性は、HTMLまたはXSSインジェクションとして分類されます。 見つかった脆弱性に害を及ぼすことができない場合(たとえば、ページの出力のみを変更できる場合)、最も低い1番目のカテゴリが割り当てられます。
- より危険なSQLインジェクション。 SQLクエリに違反する脆弱性を見つけたが、唯一の結果はサイト上のコンテンツの誤った表示であると仮定します。 ほとんどの場合、このような脆弱性は2番目のカテゴリのみを受け取ります。
ただし、SQLの脆弱性を使用している場合、攻撃者が1人以上のユーザーの一部のデータにアクセスできる場合、この脆弱性はカテゴリ5に割り当てられる可能性もあります。
脆弱性を使用する場合、ユーザープロファイル内のデータを更新することができ、このデータの重要度に応じて、5番目までのより高いカテゴリを割り当てることができます。 - CSRFの脆弱性も危険ですが、カテゴリが高いほど、被害が大きくなる可能性があります。
そして、あなたが非常に深刻な何かを見つけた場合、Badooが500ポンド以上のスーパーボーナスを与えることができることを忘れないでください。
確認する
- 参加者は迅速なフィードバックを受けました。
- 参加者はアプリケーションを追跡し、どの脆弱性が既に修正されているかを確認できます。
- 脆弱性が解決される前に、承認された入札者が賞を受け取りました。
- お金の支払いは迅速であり、官僚的なテープはありませんでした。
プロセスは次のようになります
- 参加者は、脆弱性の詳細な説明、再現手順、スクリーンショット/ファイル(オプション)を含むフォームを介してアプリケーションを送信します。 アプリケーションには、脆弱性を再現するのに十分な情報が含まれている必要があります。
- フォームに正しく記入すると、すべてが正常であり、レポートが私たちに飛んだことを示すメッセージが表示されます。
- 3営業日以内に、アプリケーションを分析し、新しい脆弱性かどうかを判断します。 その結果、作成者はメールへの回答を受け取ります。
- アプリケーションを承認すると、「アプリケーションのステータス」テーブルに「進行中」ステータスで表示されます。
- 申請書のステータスが「処理中」の場合、当社の担当者が1週間以内にご連絡し、送金に同意します。 これは、脆弱性が修正されているかどうかに関係なく起こります。
- 脆弱性が修正されると、脆弱性の説明と「解決済み」のステータスが表に表示されます。 この時点まで、参加者には脆弱性について話す権利がありません。
ゲームに参加>>>>>>
競技審査員
エフゲニー・ソコロフ
Badoo開発責任者
2012年にBadooに入社しました。 それ以前は、モスクワのエンジニアチームの責任者としてGoogleモスクワで働いていました。 2010年、彼はGoogleのモスクワエンジニアリングセンターを率いました。
Googleに入社する前、彼は金融システムを開発し、いくつかの小さな会社を設立しました。 彼は博士号を持っています ストーニーブルック大学。
アレクセイ・ライバック
Badoo Developmentの開発部長
1999年からWebプロジェクトを開発しています。 近年の主な仕事の分野は、大量の社会サービス、写真とビデオのホスティング、デートです。 彼はbadoo.comプロジェクトの開発に参加しました-1億7200万人のユーザー、mamba.ru、DIV VGTRK、Memonet。
1999年、彼はモスクワ州立大学の物理学部を優等で卒業しました。
パベル・ドブブッシュ
クライアント開発Badoo開発部長
彼は、メイン開発者としてJavaScriptの開発に直接関与しています。
彼は主に、大規模なWebアプリケーションのアーキテクチャと最適化を専門としています。
イリヤ・アジェエフ
Badoo開発のテスト責任者
テストおよび計算プロセスを管理します。 Badooの前は、ランナーで働いていました。