Comments 46
«Участвовать могут все, кроме сотрудников Badoo.»

Нуууу воооооот :-(
Расскажите кому-нибудь другому, а потом на двоих разделите вознаграждение)
Будет таблица с именами тех, чьи заявки в работе или уже пофикшены.
И отдельно сделаем страницу и пост с благодарностью. Но только с именами, не хотим светить e-mail участников.
А супер-премия за найденные уязвимости будет вычитаться из заплат сотрудников, которые работали над сервисами? ;-)
Тестеров Баду будут «вжаривать» на эти деньги и платить их тому, кто нашел баги на сайте )
HATER-MODE:ON
А не санкционированное пользователем использование его персональных данных для рассылки спама уже счита́ется багом? А то давно компанией не интересовался.
Простите за ОФФтоп, но вспомнилось про хацкера, звонящего в техподдержку Касперского
UFO landed and left these words here
Ничего себе. Отправил репорты днем и один из них уже был 57 по счету.
Хабр неплохая краудфандинговая платформа для поиска багов. Каждый раз как я публикую здесь свои маленькие приложения, мне становится страшно глядеть в логи.
У вас хороший сайт :)
Жаль что не на dating.ru или kisses.ru, вот там уже удалось найти особо не напрягаясь.
Как вы поступите, если несколько человек найдут одну и ту же уязвимость?

Если премию получит только первый — нечестно и возможно подозрительно для того, кто получит отказ из за дубликата.
Если все, кто прислал — то это повод запостить уязвимость несколько раз и получить приз несколько раз.
Единственный «безобманный» способ — держать все найденные уязвимости публично — но это не вариант.

Если премию получит только первый — нечестно и возможно подозрительно для того, кто получит отказ из за дубликата.

Отчего ж нечестно? — Как и во многих конкурсах выигрывает самый быстрый среди правильных.
Подозрительно? — Это извечный вопрос доверия. В данном случае — доверия членам жюри или компании в целом. Честно говоря, ради нескольких тысяч рублей я бы не стал рисковать своей репутацией или авторитетом. Оно того не стоит.
Да, я понимаю что из трёх вариантов выбран первый.
Конечно же я не думаю, что Badoo ради нескольких тысяч будет портить карму на хабре.
Комментарий задумывался с юмористическим оттенком и закосом в сторону «поиска уязвимости»

Но, «в каждой шутке есть доля шутки», при таком раскладе на простые уязвимости за 50 фунтов вообще не нужно обращать внимание, тк велика вероятность что их уже до меня запостили и я ничего не получу. Можно рискнуть своим временем, и пойти дальше — но риск потратить впустую день из за 100 фунтов всё таки велик.

Это не утверждения, а догадки.

Если у вас есть доступ к БД текущих уязвимостей, не могли бы вы сказать сколько из них дублируется?
Если репорт про уязвимость дублируется, то деньги за за него получает только первый участник.
Как только мы фиксим уязвимость, на сайте в таблице появляется его имя с описанием уязвимости и дата создания тикета.
Мы думаем, что это сделает процедуру более прозрачной.
Да, достаточно прозрачно.

Стоит сразу же извещать автора, как только его тикет признан дубликатом, до его официального фикса и появления на сайте. (Может оно так и работает уже)
в вашу форму для отправки репорта файлы как-то кривовато цепляются — не всегда есть кнопка прикрепить еще один файл, плюс автоответа пока так и не пришло 2м человекам

З.Ы. а еще там сама форма на странице без https ;)
Добрый день!

Автоответ высвечивается при отправке формы.
А ответ каждому участнику мы отправляем руками, т.к. нам нужно немного времени на то, чтобы понять уязвимость ли нам прислали или нет.
Чтобы не вводить никого в заблуждение, заменили в описании автоответ на: «Если форма заполнена верно, то высвечивается сообщение о том, что все хорошо и репорт улетел к нам».
И тут началось: разрабы делают уязвимости, сообщают свои знакомым, подкупают тесторов, а тикеты с уязвимостями плодятся. Это же Россия ;)
Запустили таблицу, в которой будет появляться информация по устраненным уязвимостям и заявкам, которые взяли в работу: corp.badoo.com/security
Уточняющий вопрос: если в таблице стоит статус «Решено», эта уязвимость реально пофикшена? Я к тому, имеет ли смысл проверять, например, как вы пофиксили чужие уязвимости, для которых стоит такой статус с зеленой галкой. Может, есть какой-то другой способ обойти фикс и т.п.
Да, это значит, что уязвимость пофикшена. Но это не значит, что не нужно ее проверять или искать способ обойти фикс. Если Вы найдете такой способ, то мы можем засчитать это как новую уязвимость.
Есть небольшое предложение, если не сложно: разослать в конце конкурса всем нашедшим уязвимости, что-то в духе благодарственного письма. Нашедшим приятно, плюсик в пацанскую карму и резюме пентестера.
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

1 January 2006

Location

Россия

Website

badoo.com

Employees

201–500 employees

Registered

15 December 2009

Habr blog