Некоторое время назад решил наконец прикоснуться к такой удивительной штуке как BugBounty. На самом деле, я туда почти побежал, потому что в какой-то момент желание потрогать это стало сильнее любых иных моих активностей. Так как профиль у меня был пустой, то ни в каких приватных программах я не состоял и смотрел только то, что есть публично. Мой опыт был следующим:
▶️День 1. Вечер: решил посмотреть программу 1. Сделал рекон, немного поискал, нашел одну багу, которую потом пометили как инфо (+0р) и на этот день мое приключение закончилось.
▶️День 2. В течение дня я настраивал себе эмулятор, вечером-ночью начал смотреть программу 2. Сделал рекон, поизучал функциональность, нашел две баги, одну из которых по итогу также пометили как инфо (+0р), вторую приняли и по итогу заплатили (+30к р). Ночью того же дня сделал рекон программы 3.
▶️День 3. Вечер-ночь: делал рекон и исследовал уже другую задачу в программе 3. Нашел и сдал три баги, одну из которых по итогу пометили как инфо (+0р), две другие приняли (+55к р и +75к р соответственно), по второй баге правда критичность понизили относительно моего репорта
🌀Итого за 3 дня моего первого опыта с багбаунти-платформами я имею массу положительных эмоций и +160к р, что в целом звучит довольно позитивно (хоть это и не + 8млн за месяц, как зарабатывают некоторые ии-багбаунтеры)
(Если что я тут про деньги пишу, потому что это публичная информация и смысла не говорить об этом нет; обычно я не сильно склонен рассуждать о деньгах, потому что в моей системе ценностей это не является главным. Но возможно, это замотивирует вас тоже попробовать себя в багбаунти - это дело бравое, такое мы уважаем)
По итогу этого опыта у меня появились следующие мысли:
- 🟡. Приятно, что за баги тебе платят (за прошлые CVE/BDU мне сказали спасибо, а иногда даже спасибо не говорили)
- 🟡. Выборка у меня пока небольшая, но среди вендоров, с которыми я успел повзаимодействовать - мне попадались весьма адекватные люди. Я могу не всегда быть согласен с их решением, но могу понять их позицию - она адекватна и ее можно логически принять. Оценка уязвимостей по большей части тоже была справедливой (часто это поле для дискуссий и заказчик склонен занижать импакт - тут тоже такое наблюдалось, но оставалось в рамках разумного). Правда, пока складывается ощущение, что Low-баг для компаний как будто не существует.
- 🟡. Как и следовало ожидать в публичных программах на поверхности уже почти все собрали. Заранее понимая это, я опускал проверки целых классов уязвимостей при отсутствии на них намека - это помогло сэкономить время на более важном.
- 🟡. В свою очередь я получил положительные эмоции от самого процесса. Я прям получал драйв в процессе своей активности. На самом деле я доволен тем, что получаю такое удовольствие от процесса, который в том числе стал моей работой. В моей голове это сопоставимо с искусством/ремеслом, которое приятно держать в руках и хочется продолжать.
- 🟡. Этот поинт посвящен эффекту от ИИ-багбаунтеров. На самом деле все происходящее на этом поприще вызывает у меня чувство грусти - я вижу в этом влияние на экономику бб-платформ, а также резкое усложнение баг, которые можно найти. В результате получается ситуация, что исследователь может неделю искать уязвимость, найти что-то интересное, а потом окажется, что эту багу позавчера сдал тип который ничего не знает, но купил 200 кодексов и ты получаешь дубликат. Потребуется больше усилий, чтобы получить отдачу от своей работы, а быстрый дофамин от победы - довольно сильный стимулятор к деятельности, особенно на старте. При этом именно для бб я не вижу смысла для себя в таком же ключе использовать агенты - как я писал выше, мне больше нравится удовольствие от процесса, я не стремлюсь обанкротить всех вендоров.
Overall, бб мне понравилось. Если не пробовали - то обязательно попробуйте (особенно платформу бизона рекоммендую хд). Во всяком случае, пока типы с кодексами всех не обанкротили (пока не успели).
Было бы еще время на это все, конечно...
#bugbounty #experience
☠️ Hunt Or Be Hunted
Дискуссия