#7 Bug Bounty. Выбор правильной цели.
Здравствуйте, дорогие друзья.
Введение
Простой выбор неправильной цели может значительно снизить Ваши шансы найти уязвимость. Вы должны уметь определить идеальные, на Ваш взгляд, цели, которые будут иметь наибольший шанс на успешную выплату.
Скоуп
Цели с небольшими и ограниченными областями, как правило, имеют меньше общих уязвимостей, которые Вы можете найти. Чем больше доменов в области действия, тем больше шансов, что Вы столкнетесь с уязвимостью.
Возраст
Старые компании, как правило, больше полагаются на устаревшие системы, и имеют больший след в интернете. Все это происходит потому, что старые компании существуют дольше, при этом обновив свою внешнюю инфраструктуру в большей степени, чем новые компании.
В новых компаниях, как правило, существует меньше следов в сети, так как они не работают достаточно долго, чтобы их инфраструктура отображалась в интернете. Таким образом, Вы, по большей части, увидите лучшие результаты тестирования старых компаний.
Выплаты
Если Вам плевать на деньги, то этот раздел для Вас неактуален. Однако, если Вы хотите получать деньги, то можете ориентироваться на компании с самыми высокими выплатами.
Я видел, как одна компания заплатила 1000 долларов за уязвимость, а другая — 50 долларов. Если Вы собираетесь тратить время на поиск ошибок, расставьте приоритеты на компании с более высокими выплатами.
Заключение
Выбор правильной цели, имеет решающее значение при назначении вознаграждений за обнаружение ошибок. Рассматривайте компании с большими масштабами и большим количеством активов соответственно.
Если Вы в этой сфере деятельности ради денег, то избегайте компаний, которые не платят. Согласитесь, что это будет пустой тратой времени, например, если Вы потратили пять дней на тестировании цели, чтобы получить только бесплатную ручку и футболку.
Резюмирую
Как Вы, возможно, уже поняли, процесс вознаграждения программы bug bounty начинается до того, как Вы начнете взлом. Вам нужно выбрать правильную платформу, чтобы максимизировать свой показатель успеха. С самого начала процесса настраивайте себя на лучший шанс найти уязвимость и получить деньги.
Hackerone и Bug Crowd являются двумя самыми популярными платформами по поиску ошибок, но не забывайте про скрытые программы.
При выборе компании, в которой Вы хотите начать тестирование, ищите определенные параметры. Большие масштабы, высокие выплаты и возраст организации — это показатели, которые Вам необходимо искать в программе вознаграждения за ошибки, чтобы максимизировать Ваши усилия.
На этом все. Всем хорошего дня!
#1 Bug Bounty. Подготовка к Bug Bounty. Введение.
#2 Bug Bounty. Организация. Введение.
#3 Bug Bounty. Заметки. Введение.