← Пароли и хеши: как защищают…Профессии: пентестер, SOC-а… →

Bug bounty как путь и источник дохода

Bug bounty — легальный способ применять навыки на реальных системах и зарабатывать. Но это вершина, к которой идут через фундамент и практику.

В разделе про закон мы уже знакомились с багбаунти. Теперь посмотрим на него как на карьерный путь: как платформы устроены, как платят и с чего начинать новичку.

Платформы багбаунти

ПлатформаОсобенность
HackerOneОдна из крупнейших, много известных программ
BugcrowdБольшой выбор программ, удобна новичкам
Собственные программыМногие компании держат свои на своих сайтах

Платформа выступает посредником: связывает компании и исследователей, помогает с отчётами и выплатами, ведёт рейтинг исследователей.

Как происходит выплата

  1. Вы находите уязвимость в рамках scope разрешённой программы.
  2. Пишете подробный отчёт: что нашли, как воспроизвести, насколько опасно.
  3. Команда компании проверяет (триаж) и подтверждает находку.
  4. За подтверждённую уязвимость выплачивается вознаграждение — от небольших сумм до очень крупных за критичные находки.

Размер выплаты зависит от серьёзности уязвимости и важности системы. Критичные находки могут оцениваться в тысячи долларов, но такие требуют высокого уровня мастерства.

Что ценится в отчёте

  • Чёткость: понятное описание шагов воспроизведения.
  • Оценка влияния: почему это важно и что может случиться.
  • Этичность: вы не навредили данным и не вышли за scope.
  • Рекомендации: как починить.

Учебный пример: расчёт условной выплаты

Безопасный Python, иллюстрирующий, как платформы могут привязывать награду к уровню серьёзности. Это просто модель логики.

rewards = {
    "low": 50,
    "medium": 250,
    "high": 1000,
    "critical": 5000,
}

reports = ["low", "high", "critical", "medium"]
total = sum(rewards[r] for r in reports)

for r in reports:
    print(r, "->", rewards[r], "у.е.")
print("Итого за", len(reports), "отчёта:", total, "у.е.")

Вывод:

low -> 50 у.е.
high -> 1000 у.е.
critical -> 5000 у.е.
medium -> 250 у.е.
Итого за 4 отчёта: 6300 у.е.

Совет новичку

Не начинайте карьеру с багбаунти. Сначала — фундамент (сети, Linux, веб), потом — CTF и тренировочные площадки, и только затем реальные программы. Иначе легко разочароваться или случайно выйти за scope.

Багбаунти — это марафон, а не спринт. Но для дисциплинированного человека это законный способ превратить навык в доход и репутацию.

Проверьте себя
1. За что выплачивается вознаграждение в багбаунти?
AЗа любую отправленную заявку
BЗа подтверждённую уязвимость, найденную в рамках scope, с хорошим отчётом
CЗа количество запущенных инструментов
DЗа скорость регистрации
2. С чего стоит начинать новичку, а не с багбаунти?
AСразу с критичных уязвимостей на реальных сайтах
BС фундамента и тренировочных площадок, постепенно двигаясь к багбаунти
CС атак на популярные сервисы
DС создания вредоносных программ
Поддержать проект