Охота на баги. Список площадок для Bug Bounty

Введение
Вспомним новости минувшей недели и посчитаем, сколько уязвимостей было обнаружено. Одна, две или сразу десять? Происходит такое по понятным и очевидным причинам. Люди не могут справиться со всей безопасностью сразу и поэтому в некоторых местах компаний открывается брешь. Ну а чтобы ее закрыть в работу вступают охотники на баги. Также ты мог слышать более близкое название к этому слову, а именно синоним "белые хакеры". Один из видов заработка, когда за найденную уязвимость тебе отчисляют некоторый процент денег. И здесь вся сумма зависит от критичности дыры. А теперь давай познакомимся с такими терминами поближе и проложим свою дорогу на пути к поиску багов.

План работы
Первым делом я познакомлю тебя с рядом площадок, которые очень хорошо зарекомендовали себя в сфере поиска багов. Поговорим об их преимуществах и недостатках. В этот список входят как иностранные, так и отечественные площадки. Поэтому, помимо драгоценного опыта, ты сможешь получить долгожданную награду. Кроме поиска багов я объясню тебя как правильно презентовать выявленную уязвимость и не упасть в грязь лицом перед куратором. Поверь, по мимо умения найти баг ты должен знать как его закрыть и правильно создать отчет. Ну и бонусом я расскажу где можно потренироваться и почему такая работа важна для твоей профессии.

Площадки для хакеров
Давай заглянем во всемирную паутину и поищем что-то адекватное под наши запросы. Сразу скажу, что в некоторых случаях потребуются знания английского, желательно уровня Intermediate (B1), но никто не отменял переводчики, поэтому в целях понимания они могут вытащить тебя из неловкого положения.

Bug Bounty RU

• Официальный сайт: bugbounty.ru

На самом деле сейчас это самый продвинутый и лучший вариант для продвижения своих способностей. Так как границы закрыты, а иностранные компании наотрез не хотят сотрудничать с нами приходится выкручиваться и искать другие пути. Как раз в этом поможет тебе русская площадка по поиску багов. Интерфейс достаточно простой и понятный. Кроме регистрации ты можешь посмотреть условия на отправку отчета (у каждой компании они свои). Здесь собраны самые крупные компании на рынке РФ и каждый предлагает свои условия. Из минусов небольшой выбор, но приведу в пример ту же компанию Tinkoff, которая разместила объявления на поиск багов в их ПО. Оплата зависит от уровня дыры и в ценах я расписал ниже.

• Низкий уровень - 7 500 рублей
• Средний уровень - 23 000 рублей
• Высокий уровень - 56 000 рублей
• Критический - 150 000 рублей

Как ты понимаешь частный банк прежде всего заботится о безопасности и поэтому у них такой размах в оплате.

The Standoff 365 Bug Bounty

• Официальный сайт: bugbounty.standoff365.com

О великой площадке The Standoff 365 наслышан каждый. Как и о Государстве F, которое раз за разом взламывают продвинутые хакеры и специалисты в сфере ИБ. Но не каждый слышал про их программу по поискам багов. Она существует и содержит 33 программы для работы. Компания-лидер по ловле ошибок здесь является VK. В основном если ты хочешь поработать таким продуктом, то весь список в твоем распоряжении. Здесь к оплате труда подошли гораздо серьезней и за максимальная выплата составляет 1 800 000 рублей. Такую сумму выдает если ты найдешь ошибку с исполнением произвольного кода (RCE). Ну и минимум ты можешь рассчитывать на 18 000 рублей за открытый редирект где-то в глубине сайта. Сама же площадка позволяет видеть рейтинг хакеров и таблицу с найденными дырами. Достаточно удобно и практично, чего нету на BugBountyRU. Условие к каждой программы расписаны подробно и понятно. Сказано что следует искать, а что будет пропускаться кураторами при составлении отчета.

YesWeHack

• Официальный сайт: yeswehack.com

Здесь уже все немного шире. Если на русских площадках тебе гарантируется оплата труда, то на YesWeHack к сожалению такой гарантии нету. Но зачем тогда я тебе ее рекомендую? Все просто, на такой площадке можно оттачивать навыки и мастерство, ведь выбор по компаниям здесь шире и нет границ твоим возможностям. В некоторых случаях, ты можешь постараться и договориться о выплатах. Из крупных фирм присутствует компания по производству телефонов ZTE и BlaBlaCar. В остальном ничего известного я не увидел. По преимуществам этой площадки стоит отметить достаточно большой выбор среди средних фирм и качество работы. Ну и конечно же знание английского языка, ведь все отчеты придется писать именно на нем. Присутствует рейтинг хакеров, которые активно участвуют в программе. В остальном ты можешь узнать все из описаний к каждой программе.

Zerocopter

• Официальный сайт: zerocopter.com

Об этих ребятах из Голландии я услышал не так давно. Их персонал полностью говорит на английском, но есть и русскоговорящие люди в их коллективе. В работе строго используется латиница, начиная от программ и заканчивая составлением отчетов. Из преимуществ это специальная форма для заполнения репорта. То есть тебе не надо сидеть часами и думать как грамотно оформить и представить найденную уязвимость. Как и в предыдущих площадках отображается сразу оплата за найденные дыры и также есть политика ответственного разглашения. Это условия на основе которых дается гарантия на то, что информация об уязвимости не попадет в руки третьим лицам. Но а из минусов то, что посмотреть весь список программ и узнать оплату можно только после прохождения регистрации. Ее пример как раз ты видишь на экране.

BI.ZONE Bug Bounty

• Официальный сайт: https://bugbounty.bi.zone/

Есть два вида программ: приватные и публичные. В первых компании сами выбирают исследователей, контролируют их количество и уровень компетентности. Организациям, которые впервые запускают bug bounty, я советую начинать с приватной программы: это поможет настроить процесс работы с найденными уязвимостями и постепенно улучшать его. Также компании могут руководствоваться рейтингом хантеров, с которым они пришли с других площадок и которые заработали на платформе BI.ZONE Bug Bounty. Что касается публичных программ — в них принять участие может любой ресерчер. Здесь опытные багхантеры соревнуются, кто первый найдет самую дорогую уязвимость, а новички прокачивают навыки. Публичные программы хорошо подходят для компаний с большой IT‑инфраструктурой. Из крупных компаний на этой площадке размещены VK и Авито.

Итак, основные и интересные площадки для поиска багов я тебе показал. Добавим к этому списку наш любимый HackerOne, о котором знает почти каждый и будет топ 6 известных сайтов по программе Bug Bounty. Но если зарегистрироваться везде крайне просто, то как составлять и отправлять отчеты? Давай попробуем разобраться.

Как составить отчет
Самый частый и распространенный вопрос среди начинающих охотников на баги. Прежде всего нужно понимать, что кроме цели найти баг ты должен еще уметь объяснять как его закрыть. Так как кураторы просто не станут читать все это добро не зная как с ним бороться. Поэтому давай разбираться по пунктам, как правильно составить отчет.

Вступительная часть: она обязательна если ты первый раз отправляешь репорт в ту или иную компанию. В этот пункт должно входить приветствие, твое представление. То есть ты должен сказать кто ты и зачем пишешь. И в остальном больше от тебя ничего не требуется. Лить воду о своих навыках и опыте лучше не стоит, так как кураторы ценят практическую часть твоей работы.

Описание бага: в этом месте начинается самое главное. Здесь ты должен сказать где ты нашел баг, приложить всевозможную информацию и ссылки, чтобы компания понимала в каком месте у них возникла дыра. Также стоит рассказать о том, какие инструменты ты использовал, чтобы эксплуатировать уязвимость. Еще один важный момент это доказательства взлома. Допустим если ты получил удаленный доступ при помощи дыры, то в условиях работы компании указывают разрешенные команды для использования (допустим тот же whoami или ifconfig), поэтому используй эти команды, а результаты записывай в отдельный файл и прилагай вместе с отчетом. Это будет только еще один плюс в твою копилку и повышение шанса на выплату.

Заплатка на баг: после того, как ты успешно нашел уязвимость стоит продумать варианты ее закрытия. Потому что просто баг в отчете читать не станут. Вариантов лучше предоставить несколько, чтобы куратор видел твои знания и умения работать с такими дырами. Главное помни, что все это дело требуется писать самостоятельно. Если ты в репорте напишешь что-то вроде: "Вот здесь вы подробнее можете узнать о том, как залатать дыру", то такой вариант не каждый будет рассматривать. Поэтому прежде всего знай, что описывать стоит каждое действие и каждый шаг. Так ты сам повышаешь шанс на выплаты и похвалы со стороны компании.

После составления отчета отправляем и ждем результаты. Писать что-либо кроме этого не стоит. Старайся не напоминать про оплату, если ее долго нет или писать с просьбой увеличить доход. Такой мусор лишь вредит репутации и в дальнейшем не каждый решиться браться за твои репорты. Старайся проявлять сдержанность и уважение к другим. Ну а если твои кровные деньги задерживаются, то стоит обратиться в поддержку и объяснить ситуации, так ты получишь максимальную пользу.

Еще старайся описывать каждый шаг, а в конце отчета стоит добавить оценку критичности. Конечно по мимо тебя ее поставят еще и работники компании, но так будет проще ориентироваться и понимать насколько она опасна. Ну а про скриншоты и прочие вложения я думаю говорить не стоит. Их наличие не обязательно, но рекомендуется для более продуктивной работы. Если ты автоматизируешь весь процесс связанный с уязвимостью и пишешь скрипты, то в коде оставляй комментарии для адекватной ориентации в нем в дальнейшем.

Подводим итоги
Итак, в этой статье я постарался коротко и понятно описать тебе на пальцах с чего стоит начать свой путь в Bug Bounty. Задел я только важные моменты в части отчетов и площадок. Остальная часть по прежнему остается за тобой. Ищи, тестируй и развивайся. Могу добавить только то, что при трудоустройстве любой работодатель будет рад увидеть в твоем резюме отчеты с известных площадок. Добавь к этому активное участие в CTF соревнованиях и хорошая работа уже у тебя в кармане. Кроме этого программа Bug Bounty позволит тебе опробовать свои силы в боевых условиях.