О чем статья
Российский багхантер отвечает на 10 коротких вопросов
Что нужно уметь, чтобы стать багхантером?
У каждого хантера свой путь и набор компетенций. При выборе вектора развития проще отталкиваться от потенциального скоупа. Самые распространенные цели — это веб-приложения: начать можно с них, а уже потом углубляться в те направления, которые покажутся наиболее интересными.
Существует ли в России полноценное комьюнити багхантеров?
Да, оно начало активно развиваться с появлением отечественных багбаунти-платформ. Появились профильные чаты и даже офлайн-встречи (например, Standoff Hacks), где исследователи знакомятся и обмениваются опытом. К слову, на них могут попасть даже новички — для этого достаточно активно участвовать в конкурсах.
Может ли поиск багов заменить работу в офисе?
Сложный вопрос, потому что вводные у всех разные — от набора навыков до финансовых хотелок. Поиск багов не гарантирует стабильного дохода, но в целом может заменить работу в офисе (в комьюнити есть такие примеры). Но я бы не рекомендовал этот путь: лучше все-таки попытаться совместить, особенно если у вас еще мало опыта.
С одной стороны, многим психологически сложно жить с непостоянным денежным потоком. С другой, на одном баге можно заработать «офисную» зарплату сразу за полгода
Что вас мотивирует?
Мотивация у всех разная. Меня больше интересует финансовая сторона багхантинга, а многим моим друзьям важнее попасть в топ исследователей или выиграть в том же Standoff Hacks.
Самая большая награда, которую вы получили за найденный баг?
Индивидуально — 16 тыс. долл., а командой из трех человек однажды сдали баг за 30 тыс. долл.
За какую сумму вы бы продали найденный баг на черном рынке? Есть ли такие запросы в даркнете?
Даже не интересовался: стоит один раз переступить черту, и спать спокойно будет сложно :)
Когда я искал баги на зарубежных платформах, я не был так вовлечен в жизнь комьюнити
Насколько справедливо оценивается критичность багов на популярных российских платформах?
У меня особых проблем с этим не возникало, поскольку обычно я ищу баги у одних и тех же компаний. Если в новой программе выплаты окажутся ниже моих ожиданий, скорее всего я просто прекращу искать там уязвимости. Как правило, у сотрудников российских багбаунти-платформ хороший бэкграунд, поэтому конфликты случаются редко. Хотя поспорить в отчетах мне приходилось :)
Каких механизмов и процессов пока не хватает на багбаунти-платформах?
Все очень ждали сплит наград, и недавно он появился на Standoff. Сейчас не хватает информации о проведенных выплатах, особенно от самих багбаунти-платформ — для меня это всегда было мощной мотивацией.
Ранжируйте российские багбаунти-платформы от худшей к лучшей.
По удобству использования и количеству программ впереди Standoff и BI.ZONE. Bug Bounty Ru не использую, потому что там нет уникальных компаний. Преимущественно сдаю отчеты на Standoff, потому что начинал хантить именно там.
Какое будущее ждет российский рынок багбаунти?
Если вы хотите заниматься поиском багов, сейчас самое время. Конкуренция низкая, программ все больше, размеры выплат растут. Многие компании заинтересованы в создании багбаунти-программ для своих активов.
Мне кажется, что появление программ от государственных организаций — это крутой тренд. К тому же в России госорганизации платят реальными деньгами, а не мерчем или репутацией, как западные :)
Как по мне, намного приятнее получить несколько тысяч рублей от Минцифры, чем футболку с надписью «I hacked the Dutch government and all I got was this lousy T-shirt»
