3733 подписчика
Багбаунти пост
Как-то раз (вот тут) мы с вами уже разговаривали на тему культуры поиска уязвимостей и ошибок за деньги, так что все вы уже знаете, что это такое и с чем это едят. Сегодня продолжим эту тему.
Во-первых, вознаграждение за найденные уязвимости растут как на дрожжах и порой на них можно сразу квартиру покупать. Так, например, VK готов был отдать за найденную уязвимость с возможностью удалённого исполнения кода до 7 200 000 рублей. Сейчас цены чуть снизились, но поверьте, там, всё равно, достаточно (актуальные расценки можно глянуть тут).
Во-вторых, если вы давно не практиковали или вообще ни разу не пробовали свои силы в баг-хантинге, то без насмотренности вы далеко не уедете, даже если будете вооружены всеми инструментами хакинга. Насмотренность можно выработать изучая отчеты о найденных уязвимостях – они называются репортами. С этим вам поможет гугл или сайты, наподобие этого, где эти репорты регулярно публикуются в открытый доступ.
В-третьих, рекомендую делать упражнение из прошлого пункта и своим коллегам из блю-тима (сторона защиты), ведь для того, чтобы что-то эффективно защищать, надо понимать, откуда и как будут атаковать. Лично я, после того, как перечитал огромное количество репортов (не без помощи этих ребят), переосмыслил некоторые вещи в своей работе. С радостью бы поделился самыми сочными отчетами с вами здесь, но все они, к сожалению, защищены NDA.
Ну всё, выдыхайте, пост духоты закончился.
#Мнение
Твой Пакет Безопасности
1 минута
29 августа 2023