私はB2Bで働いていますSaaSお金のないスタートアップ(私たちは6人、2人の開発者、約6か月の滑走路、そして$ 25,000の月収、<50顧客)。
私が小企業/新興企業に見た一般的なアドバイスは、セキュリティ(リスク/報酬のバランス)を「十分に行う」ことです。ただし、私たちにとっては、コードを書くときの最前線にいます(たとえば、セキュリティレビューをコードマージレビュープロセスの明示的なステップとして組み込んだり、準備されたSQLステートメントのみを使用したりします)。
最近、セキュリティ研究者からいくつかの脆弱性について連絡がありました。公式のバウンティプログラムはないことをお伝えしましたが、補償するつもりです。 Slackのプログラム は、支払い方法のガイドになる可能性があると述べました(これは、問題とビジネスへの影響/リスクによって異なります)。
最初に報告された問題はCSRF攻撃で、被害者が誤って攻撃者をアカウントに追加し、被害者のアカウントへの完全な管理アクセス権を取得する可能性があります。これを利用するには少し作業が必要なため、これはPOCでした。悪用された場合、ユーザーのデータのallユーザーが公開される可能性があると考えました。それはPOCでしたが、潜在的に私たちのビジネスを破壊する可能性があります。私たちは彼らに500ドルの報酬を与えるとともに、Swagを郵送しました。我々が彼らに支払いに行ったとき、彼らはPaypal料金のために550ドルを要求しました。私がHackerOneのようなサイトに掲載された場合、Paypalは金額に関係なく手数料を支払うことを伝えました。
彼らは、認証された攻撃者がアプリケーション内の任意のユーザーを「無効にする」ことができるIDOR攻撃の問題を報告しました。アプリケーションでユーザーを無効にしても、ユーザーがログインできないことを示すフラグが設定されるだけです。この攻撃は情報を開示せず、簡単に元に戻すことができます。現在、私たちは実際のビジネスへの影響/リスクは非常に低いと信じています(逆転可能であり、顧客データを公開しないため)。この脆弱性はすぐに修正されました。セキュリティ研究者は、最初のレポートで期待される報酬を非常に強く押し付けました。彼らは、UberへのIDOR攻撃に対して$ 15000、Slackから$ 1500を見積もりました。私は返答し、影響は低いと感じたので報酬について社内で議論するつもりだと述べました。彼らは、この問題がいかに重大であり、それがどのように私たちのビジネスに破壊をもたらすことができるかについての回答を送りました。英語はこの人の第一言語ではありません(そしてレポートはコミュニケーションに関して劇的で低品質です)が、私はそれを切り詰め、ビジネスへの影響のみに焦点を合わせました(レポート/レポーターではありません)。
脆弱性レポートを奨励し、記者に市場レートを報いる/補償したいと考えています。しかし、私たちは投資のない新興企業であるため、多くの資金はありません。私のお金は脆弱性の支払いに使われるため、私は脆弱性を補償することと失業することの大きな内部闘争を抱えています。私たちは何も支払いたくありませんが、ホワイトハットレポートを奨励したいと考えています。
現在、私は「ビジネスのリスク/影響に対して価値があると感じているものを支払う」という考え方をしています。 2番目の脆弱性については、150ドルの価値があると説明しました。私たちが私たちの金額で応答を送信したとき、彼らは私たちを500ドルに賭けようとしました、そして、それが不当であると主張して300ドル。
小さな会社にバグ報奨金プログラムを作成/維持するためのアドバイスを教えてください。
現在の状況には役立たないかもしれませんが、バグクラウドのような人に登録して報酬範囲を投稿することを検討してください。誰かがあなたの投稿範囲を超えて何かを求めてあなたに連絡した場合、丁寧に彼らをあなたのバウンティページにリダイレクトし、あなたが支払うことができるすべてであることを彼らに知らせてください。
正当な研究者はあなたのサイトを見て、あなたの報酬が彼らの時間に値するかどうかを決定します。報酬が小さいほど、経験の浅いテスターがサイトに引き寄せられる可能性があります。しかし、この方法では誰も驚かないでしょう。