10 bonnes raisons de lancer un programme de bug bounty

Publié initialement à : https://korben.info/programme-bug-bounty.html

Avant de rentrer dans le vif du sujet, j’ai quand même un petit truc à vous dire : === YESWEHACK EST OUVERT A TOUS ! === === VOUS POUVEZ ENFIN VOUS INSCRIRE === Si vous n’êtes pas encore familier avec ce terme, sachez que le Bug Bounty est un bon moyen de parfaire la sécurité…

Hébergé en France, je ne suis pas sûr que ce soit maintenant un gage de qualité/sécurité, vu la politique menée depuis environ 2 ans ; ça revient un peu à faire la même chose (sinon pire) qu’héberger aux USA…

Y a déjà un petit malin qui a voulu jouer dans le hall of hame. :wink:
">'>"><img src=x onerror=confirm(2)>

Et donc on peut s’inscrire même si on est pas un expert ?
Qu’elles sont les règles, les comportements à éviter ?
Je prends un exemple extrême mais j’imagine que DDOSer une plateforme n’entre pas dans le programme de bug hunting.
Merci.

Je ne suis pas un Bug Hunter mais l’intérêt de Bug Hunting est de laisser découvrir les failles par des Bug Hunters qui les feront remonter afin de toucher leur(s) récompense(s).

N’importe qui peut devenir Bug Hunter, même sans aucune compétence. Mais il est évident que seuls les meilleurs peuvent en vivre.

Concernant le DDoS, étant donné la difficulté de s’en protéger de manière réellement efficace et que ce n’est pas tant l’exploitation d’un bug que l’exploitation ingénieuse des protocoles TCP/IP, UDP, HTTP, ou ICMP majoritairement, je pense qu’il est relativement difficile de le faire entrer dans le programme de Bug Hunting. Cela dit, je ne vois pas ce qui empêche une entreprise de proposer une récompense dans le cas où un Bug Hunter trouve une solution miracle à ce fléau :wink: