martes, 31 de diciembre de 2013

Bug Bountry: Recompensa por encontrar vulnerabilidades en Offensive Security

Oficialmente Offensive security ya tiene su propio programa de recompensa por encontrar vulnerabilidades en sus dominios y subdominios. Se puede reportar vulnarabilidades de cualquiera de las páginas del grupo Offensive Securty:
Los precios oscilan desde los $200 hasta los $1000.

$200 Reward:
  Local File Disclosure
  Configuration File Exposure

$500 Reward:
  Persistent XSS
  SQL Injection
  Local File Inclusion

$1000 Reward:

  Remote File Inclusion
  Remote Code Execution

Esta es una pequeña tabla de precios. El único ataque que no se considera vulnerabilidad, son los ataque DDoS, obvio. Además se reservan el derecho a poder rechazar cualquier solicitud, ya que XSS reflejados, directora listíngs, CSRF, y vulnerabilidades menores no entran en el programa de recompensas.
Se podría decir que pagarán por aquellas vulnerabilidades donde realmente exista un riesgo de “hackeo”
Lo que dejan bien claro es que para reportar la vulnerabilidad y que esta sea pagada, todo debe de estar bien documentado.

Los pagos por encontrar estas vulnerabilidades se realizarán a través de Paypal, como en la gran mayoría de los Bug Bountry.

En la entrada que han publicado en su blog tenemos más información sobre cuales serán los criterios para evaluar las vulenrabilidades, y la filosofía que se debe de tomar a la hora de querer encontrar vulnerabilidades. Además también hacen una serie de recomendaciones muy a tener en cuenta.