Эксперт SolidLab Всеволод Кокорин рассказал о багхантинге в эфирной студии Standoff на конференции Positive Hack Days
19–20 мая в Москве прошла международная конференция по кибербезопасности Positive Hack Days. В числе экспертов на мероприятии выступил аудитор информационной безопасности SolidLab Всеволод Кокорин. В эфирной студии Standoff он ответил на серию вопросов о рынке багхантинга и работе аналитиков на багбаунти-площадках.
Комментируя первые шаги новичков, Всеволод Кокорин отметил, что в багхантинге не нужна репутация сильного специалиста, чтобы начать искать уязвимости — работать на площадках может даже школьник — и тем самым призвал молодых специалистов пробовать свои силы в этом направлении. Что касается опытных исследователей, то поиск уязвимостей дает им возможность переключиться с рабочих задач, которые часто бывают типовыми, и поработать с чем-то новым, в том числе с пока неизученными технологическими стеками.
Всеволод согласился с мнением, что необходимо увеличивать количество компаний-участников в багбаунти-программах. По его словам, одного включения госкорпораций будет достаточно, чтобы кратно расширить границы багхантинга — так на площадке окажутся сотни доменов и сервисов. При этом Всеволод поддержал идею введения разумных ограничений в части запрета на поиск уязвимостей в определенных функциях и приложениях. По мнению эксперта, важен баланс, который позволит исключить риски нарушения работоспособности онлайн-сервисов и при этом не поставит исследователей в условия жестких рамок и ограничений, когда креативный подход и «хакерское» мышление просто невозможно применить.
Прослушать эфир полностью можно по ссылке:
«Кто ломает российские компании: интервью с лучшими хакерами на платформах багбаунти»