Спасибо

Тож самое мутят в РФ, после последних событий.

​​Госпорталы тоже плачут. Какой государственный сайт был недоступен наибольшее количество часов в 2020 году, по данным холдинга «Зерде». Полный антирейтинг по ссылке.

https://bluescreen.kz/news/antirejting-servisov-informacionnyh-sistem-gosudarstvennyh-organov/

По багбаунти ребят

Мы решили отказаться принимать баги типа хсс-ок не критичных по казнету. Потому что ооооочень много нам их накидали и большинство из них не критичные.

Старайтесь в основном сдавать RCE, SQLi, XXE, байпассы итд.

Очень много сдают багов, и если будем еще и хсски отрабатывать и общаться с владельцами систем, совсем запаримся =) .

очень тяжело по багам достучать всяким районным гос организациям. Крупные частные айти компании в принципе сразу идут на разговор и адекватно реагируют

может по гос сразу в ГТС отправлять?

Есть ли политика неразглашения личности багбаунтера?

вон Аскар безвылазно в чате все равно сидит )

мцриап получает эти баги, он уже как регулятор по ним может спускать

от нас чтобы получить деньги за уявзимость придется свои данные в кабинете вставить и данные карточки куда отправлять деньги. Владельцы систем отрабатывают напрямую с нами, а мы уже выплачиваем исследователям

Там же в баг баунти кз всего 7 проектов или я ошибаюсь?

там есть раздел Qaznet , по которому скидывают уязвимости по всем ресурсам казнета, мы по ним отрабатываем, но по ним не гарантируется выплата

Аа, спасибо понятно

То есть, третьим сторонам не даете данные? Сделайте свидетельство канарейки.. 😊

нам уже скидывали критические уязвимости нескольких банков и крупных айти систем. По ним было все отработано и исследователи уже получили деньги

сейчас вообще обсуждается вопрос багбаунти закрепить законодательно. И было бы хорошо все гос-системы подключать по багбаунти после аудитов безопасности. Это как будет перепроверка исполнителей. Потому что бывают случаи, когда за 50 миллионов делается пентест гос системы и просто натравливается аккунетикс или нессус и выдается 500 страничный бесполезный отчет. А если было бы обязательство после проведенного аудита подключать систему к ББ платформе, тогда это как раз будет что-то типа общественного контроля, который выявит халтуру и шарашкины конторы

Да, я видел законопроект, но лично мне не очень нравится там формулировка, предлагал переделать. Кстати, это закон не раньше сентября будет. Так что ждать и ждать..

он уже где-то на обсуждении висит? Я его еще пока не видел сам )

По госорганам ходит, уже раз 5 с осени видел =))

но я уже прямо кайфую от бб программы, в начале переживал что будет очень мало багов и ничего инетерсного. А у нас уже порядка 200 отчетов и прямо супер крутые вещи скидывают. Жалко только врайтапы по многим публиковать не получится. Если официально это все запустить и обязать еще исправлять баги, то казнет прямо почистится нормально так