Итоги недели работы Платформы


Платформа «БагБаунтиБай» успешно стартовала и прошла первую проверку в боевых условиях. Мы оценили запросы пользователей и их количество и внесли определенные корректировки. Полагаем целесообразным рассказать о таких корректировках и обратить внимание на некоторые правила Платформы. После выхода в свет соответствующей статьи на известном новостном портале мы столкнулись с огромным потоком желающих присоединиться к движению whitehats, вместе с тем, многие из таких желающих не отнеслись с пониманием к правилам Платформы, в связи с чем в регистрации им было отказано. Проанализировав ситуацию, мы пришли к выводу о необходимости некоторого ужесточения требований к квалификации участников, желающих попробовать себя в качестве пентестеров. В связи с этим нами был внедрен очередной баг, препятствующий завершению процесса регистрации, связанный с необходимостью самостоятельного отыскания кода подтверждения. Вместе с тем, отыскание такого кода не является серьезным препятствием для тех, кто слегка соображает в механизмах проведения тестирования на проникновение.

Помимо этого, следует в очередной раз напомнить о некоторых существенных ограничениях бета-версии: в настоящее время пока не реализован механизм создания клонов тестируемых ресурсов, что будет сделано в альфа-версии, релиз которой запланирован на первые месяцы 2021 года. Поэтому все тесты проводятся в отношении «живых» ресурсов, в связи с чем приоритетом на данном этапе является СОХРАНЕНИЕ РАБОТОСПОСОБНОСТИ РЕСУРСОВ наших дорогих Заказчиков. Отсюда логичным образом вытекает вывод о том, что никто из Заказчиков не стремится получить услуги DDoS в отношении размещенных к тестированию ресурсов, что прямо указано для тех, кто просматривает Заказ перед принятием его в работу (в своей деятельности Исполнители стремятся к тому, чтобы оказывать минимально негативное воздействие на объект тестирования в пределах необходимых проводимых исследований. По умолчанию проверка на устойчивость тестируемого ресурса к атакам типа ДДоС не проводится, если иное прямо не оговорено Заказчиком в кратком описании Заказа. При этом под ДДоС-воздействием понимается поток свыше 1500 запросов в минуту к ресурсу при сканировании. Заказчик принимает на себя риски по возникновению негативных воздействий на тестируемый ресурс, если он технически не удовлетворяет заявленному требованию). Нам пришлось безвозвратно заблокировать ряд пользователей, которые неверно поняли условия задачи и в должной мере не ознакомились с положениями Публичной оферты. В силу того, что, возможно, кому-то было лень прочитать текст оферты, или же он показался слишком сложным для восприятия, поясняем отдельно: если ты 15-летний «ддосер» и офигительным образом постиг искусство, как можно за 20 баксов заказать непродолжительную DDoS-атаку на стороннем ресурсе, то сходи на кухню и мамке похвастайся, но никогда не впадай в возбуждение по поводу своих мнимых скиллов и не вводи в заблуждение окружающих. «Ддосер» и пентестер это принципиально разные понятия. Надеемся, теперь наша мысль выражена достаточно ясно)

Многие из тех, кому было отказано в регистрации, наверное, обратили внимание, что в своих комментариях к отказу мы назвали их по именам и фамилиям. В связи с этим поясняем: ребята, данных, которые вы указали при первом этапе регистрации, в принципе достаточно, чтобы идентифицировать вашу личность. Поэтому реально не понимаем, в чем такая глобальная проблема с выполнением условия о приложении копии документа, подтверждающего личность или регистрацию юридического лица, представителем которого вы являетесь. Не стесняйтесь! Мы и так уже знаем, кто вы) А что касается необходимых документов – свои претензии по поводу траблов с тестируемыми ресурсами в процессе выполнения Заказов наши Заказчики адресуют именно администрации Платформы, поэтому мы должны быть абсолютно уверены в тех, кого допускаем к работе.

Пока что единственным доступным для всех каналом связи с нами является адрес электронной почты, указанный в разделе «Права». Некоторые посетители присылают нам свои соображения и рекомендации относительно деталей, которые могут улучшить пользовательский интерфейс и работу Платформы. Мы очень благодарны таким людям и призываем всех продолжать давать нам такие подсказки. Всё-таки взгляды разработчика и пользователя – это принципиально разные вещи)

Наряду с адресом электронной почты, доступном для всех, нами создан и администрируется отдельный Телеграм-канал, на который подписаны наиболее активные пользователи. На канале обсуждаются текущие вопросы деятельности и приводятся примеры удачно выполненных Заказов, а также оперативно размещаются сведения обо всех вновь поступающих Заказах. На канал подписаны только те участники, кто имеет рейтинг выше базового (стартового).

В целом мы считаем первую неделю бета-тестирования вполне успешной. Система работоспособна, интерес к Платформе есть – а это главное на данном этапе.

Спасибо всем, кто с нами!