#6 Bug Bounty 101. Выбор платформы.
Здравствуйте, дорогие друзья.
Введение
Первый шаг к началу Вашего пути в охоте за ошибками — это выбор платформы для работы. Вы же не хотите взламывать случайные сайты, так как это незаконно. Вы должны убедиться, что цель, которую Вы тестируете, согласилась дать разрешение. Чтобы начать охоту, все, что Вам нужно сделать — это зарегистрироваться на одной из многочисленных баунти программах.
Hackerone
Hackerone — одна из самых популярных и широко используемых платформ для поиска ошибок. Hackerone работает со многими видами компаний, для привлечения их к себе на платформу. Если компания согласится принять участие в программе, то Вы увидите ее на площадке Hackerone:
Следующий шаг включает рассмотрение «программной политики». Это обеспечит Вам всю необходимую информацию о начале взаимодействия с компаниями. В этом документе будут изложены суммы выплат, политика раскрытия информации, а также другая полезная для Вас информация.
Не забудьте обратить пристальное внимание на домены, которые находятся в рамках вознаграждения, и любые конечные точки, выходящие за рамки. Если Вы делаете это для заработка денег, то не стоит тратить время на тестирование того, за что Вам не заплатят.
Bug Crowd
Второй по популярности платформой Bug Bounty является Bug Crowd. Эта платформа очень похожа на Hackerone. Вы можете искать компании, у которых есть активная баг баунти платформа.
Bug Crowd также включает в себя место, где Вы можете сообщить об ошибках. Не каждая компания специально подписывается на платформу баг баунти, но, даже с такой позицией, можно отправлять отчеты об ошибках им (смотрите скриншот выше).
Если Вы делаете это, для Вашего поддержания жизни, в плане денег, то убедитесь, что платформа действительно дает денежные вознаграждения.
Некоторые компании предлагают, в качестве награды, только право раскрытия информации о найденной уязвимости или футболку. Это, на самом деле удивительно, так как Вы не сможете оплачивать счета крутой футболкой.
Заключение
Существует множество платформ для поиска ошибок, но подавляющее большинство людей придерживается Hackerone и Bug Сrowd. Если Вы только начинаете, я бы порекомендовал начать с Hackerone или Bug Crowd.
На этом все. Всем хорошего
#1 Bug Bounty. Подготовка к Bug Bounty. Введение.
#2 Bug Bounty. Организация. Введение.
#3 Bug Bounty. Заметки. Введение.