"Увеличение уровня раскрытия уязвимостей багбаунти-программами негативно влияет на успехи багхантера", — говорится в следующем докладе.
На основе собранных публичных данных из Hackerone, исследователи подсчитали, что увеличение уровня раскрытия отчетов багбаунти программами, снижает креативное мышление багхантеров. Эффект, как выяснилось, касается более опытных хакеров и не относится к начинающим свой путь специалистам.
Подтвердившаяся гипотеза такая, что изучая отчеты программы, хакер в поисках уязвимостей на этой самой программе, концентрируется на похожие вектора атак и меньше ищет что-то новое.
Авторы так же выявили другую закономерность: программы, которые раскрывают критические отчеты по уязвимостям, в будущем получают от хакеров больше новых уязвимостей.
В выводах хакерам рекомендуется не «зацикливаться» на идеях из раскрытых отчетов, а бб-программам внимательнее подходить к уязвимостям, которые они раскрывают и/или уменьшить уровень раскрытия сданных отчетов, если они хотят получать больше новых уязвимостей от багхантеров.
О том, какие вопросы ставили перед собой авторы, как проводились подсчеты и к каким еще выводам пришли, по ссылке.
На основе собранных публичных данных из Hackerone, исследователи подсчитали, что увеличение уровня раскрытия отчетов багбаунти программами, снижает креативное мышление багхантеров. Эффект, как выяснилось, касается более опытных хакеров и не относится к начинающим свой путь специалистам.
Подтвердившаяся гипотеза такая, что изучая отчеты программы, хакер в поисках уязвимостей на этой самой программе, концентрируется на похожие вектора атак и меньше ищет что-то новое.
Авторы так же выявили другую закономерность: программы, которые раскрывают критические отчеты по уязвимостям, в будущем получают от хакеров больше новых уязвимостей.
В выводах хакерам рекомендуется не «зацикливаться» на идеях из раскрытых отчетов, а бб-программам внимательнее подходить к уязвимостям, которые они раскрывают и/или уменьшить уровень раскрытия сданных отчетов, если они хотят получать больше новых уязвимостей от багхантеров.
О том, какие вопросы ставили перед собой авторы, как проводились подсчеты и к каким еще выводам пришли, по ссылке.