🗣Что такое багбаунти и почему оно существует Всех приветствую, вчера постов не было, сегодня постараюсь сделать минимум два Как и говорил в прошлом посту, начнём одну из рубрик канала, а именно #багхантинг и начнём с информации о том, где искать те уязвимости, за которые платят ➡️Багбаунти - буквально вознаграждение за уязвимости. Это разрешение от каких либо компаний, владельцев мелких сайтов или их разработчиков на легальный взлом их детища, однако с тем условием, что если у вас всё таки получится совершить взлом, вы напишете по найденной лазейке подробный отчёт о том как вы её нашли, как её использовать и что можно сделать, чтобы её устранить Как правило, веб-уязвимости имеют классификацию и уровень опасности, по которым в итоге оценивается вознаграждение. Найти их можно здесь: CVE - common vulnerabilities and Exposures National Vulnerability Database 🖥Сверху на скрине вы можете видеть один из моих отчётов, за который я получил 15,000 рублей (часть информации скрыта по причинам сохранения конфиденциальности). Всего на поиски уязвимости у меня ушло два дня с применением собственных знаний, автоматических сканеров и помощи искусственного интеллекта Как вы опять же могли заметить на скрине, ресурс, на котором я выложил отчёт - Standoff365 на данный момент является гигантом в мире кибер безопасности именно в России. Свои первые 4 уязвимости я нашёл на сайтах медиа-ресурса "Афиша" и на сайтах информационных ресурсов Красноярского Края именно благодаря сотрудничеству с Standoff365 Однако подобный ресурс не один. Ниже представлю вам все наши, Российские ресурсы багбаунти и зарубежные. Их плюсы и минусы. ⏺Standoff365 Уже упоминался выше. Из плюсов - простота работы, быстрая проверка отчётов, лидер российского рынка. Минус один - все основные "заказчики" - крупные компании и делать начинающему хакеру там, обычно, просто нечего, кроме как практиковаться на государственных ресурсах, однако, в этом случае обычно на деньги можно не рассчитывать. ⏺BI.Zone Также большая Российская площадка для багбаунти, входит в экосистему такого гиганта, как сбербанк. Соответственно, игроки - крупные, цели - сложные. Если Standoff365 ещё предоставляет какие то возможности для практики и заработка новичкам, то сюда нужно заходить с багажом знаний и опытом. ⏺Hackerone Если Standoff365 неоспоримый лидер в России, то Hackerone - по всему миру. Плюсы - выплата в долларах, криптовалюте, много публичных программ как для начинающих, так и опытных хакеров. Минус один, но очень большой - из-за санкций сотрудничество со специалистами из Российской Федерации затруднено ⏺Bugcrowd Также глобальный ресурс. Плюсы примерно те же, что и у Hackerone, однако есть одно отличие - там больше приватных программ. Соответственно, для входа в них, нужно уже иметь какую то репутацию в мире кибер безопасности Вот я и предоставил вам 4 основных ресурса. Человек, которому хоть как то даётся простейший анализ, мог заметить, что на российском рынке в основном только крупные компании, в то время как международные ресурсы находятся под санкциями. Встаёт закономерный вопрос: А как практиковаться? И тут я вам скажу, что в следующем посте мы разберём с вами уже обучающие хакингу ресурсы, по окончанию которых можно будет вполне себе зарываться даже и на такие крупные цели как "Сбербанк" , "Тинькофф" и другие Ожидайте!🔵 #Багхантинг