Bug Bounty для новичков: зачем компании платят за взлом своих продуктов и как в этом поучаствовать

[pyrk2142]

Важный момент: BugBounty - это продажа уязвимостей за нефиксированную сумму, которую еще и не факт, что выплатят. Можно потратить много времени на поиск чего-то интересного, а в ответ получить:
1. 50$, так как это некритичная уязвимость
2. Ничего, так как это уже нашел другой исследователь
3. Ничего, так как это похоже на другую уязвимость
4. Ничего, так как это похоже на задачу из внутреннего беклога на 2028 год
5. Ничего, так как данные раскрыл подрядчик, хотя это полная БД компании
6. Ничего, так как этот домен не входит в программу, хотя там лежит полная БД компании
7. Ничего, так как компания резко перестала отвечать на платформе
8. Ничего, так как сотрудник платформы оказался настолько неграмотным и тупым, что не смог прочитать текст, воспроизвести уязвимость, и в итоге его начинает прикрывать руководство, чтобы не выглядеть совсем глупо

В 2015 году Кемил Хисматуллин обнаружил уязвимость в YouTube, которая позволяла удалять любые видео на платформе. Google признала это значительным вкладом в безопасность их сервисов и выплатила специалисту $5000.

Иными словами, за достаточно серьезную уязвимость, которую человек искал весьма долго (плюс по ссылке описание другой уязвимости, там в самом конце ссылка на человека, который нашел возможность удаления видео), и которая позволяла смотреть приватные видео (!) человек получил что-то в районе недельной зарплаты разработчика, который это все кодил, или даже меньше

Мой рекорд - за доступ к письмам пользователей одного из крупных почтовых сервисов - полупрозрачная футболка и набор канцелярии

BugBounty все еще очень хороший инструмент для того, чтобы скидывать туда дешевые уязвимости, получая приятные бонусы. Да, можно потратить много времени и раскопать что-то крутое, получить много денег, известность, а потом это как-то развить. Или за ночь найти уязвимость и получить годовой доход. Но надо понимать, что такие случаи единичные, а багхнеров толпы. Это не сказочный мир из условного 2014 года, когда после запуска nmap и простого скрипта на Питоне подбегали представители разных компаний и засовывали в карманы деньги, благодаря за крутую работу

Требуется очень хорошая оценка навыков, целей, желаний и других возможностей, чтобы не разочароваться и не загрустить

[Sub-ZeroMKX]

Добавьте в платформы отечественную площадку punkration.ru

Они как раз на этом специализируются