Обновить

Из CTF в багбаунти: как я заработал 7 миллионов рублей за полтора месяца и при чем тут ИИ

Уровень сложностиПростой
Время на прочтение5 мин
Охват и читатели14K
Всего голосов 29: ↑25 и ↓4+23
Комментарии25

Комментарии 25

ЗакрепленныеЗакреплённые комментарии

Всем привет, спасибо автору за материал, остальным - за внимание к статье :)

Пруфов в формате «вот все отчеты и выплаты» здесь не будет по вполне понятным причинам. Но можем подтвердить, что описанные в статье находки были верифицированы, а выплаты соответствуют реальным результатам исследователя на площадке. Детали кейса раскрыты в том объеме, который допустим с точки зрения правил публикации и раскрытия информации в рамках программы.

мне 18 лет

выгорел в CTF

а чо? вы посмотрите как Сид Вишес успел к 21 выгореть, не дай бог каждому!

Каждому своё

В целом похвально, главное не стать блекхетным чорношляпнегом.
Еще глаз зацепился за "конечное устройство" - это такой современный сленг или автоперевод не справился с "api endpoint" ?

Там мой изначальный текст в многих местах отличался, его сильно редакция изменила, я хз что их не устроило в слове эндпоинт

В аналогичных отчётах указываются названия компаний.

При всём уважении, если ориентироваться на опубликованные результаты других багхантеров, указанные в статье цифры выглядят крайне завышенными.

Вопросы к кейсу:

  1. Зачем приложению подписывать URL картинки ключом?

  2. Зачем параметр raw

  3. Внутренние админ панели без авторизации?

Я не специалист в багхантинге, но я разбираюсь в ллм-генерации.

И эта статья очень походит на неё, не по стилю, но по содержанию

Тебе скрин выплат скинуть? Если бы это была выдумка, позитивы не стали бы пилить статью. Вся статья была написана мной от руки, но потом редакторы её изменили сильно. По поводу кейса, не получилось выбить дисклоуз у компании, а на вопросы твои как я должен отвечать? Я откуда знаю, о чём думали разрабы этой прилы

Если можете отправить мне, тогда просто выложите апдейтом к статье.

И цифры наоборот занижены немного, за кейс выплатили 1515000 и в сумме выплат на 8 лямов почти

Вы отправили мне что-то в телеграмм и сразу удалили, непонятно.

Это были картинки перечислений от агрегатора для самозанятых. Но суммы, которые вы там демонстрировали, превышают годовой лимит разрешенный для самозанятого. Так что вопрос не снят

Upd: если кому-то интересно, там были картинки двух выплат от https://konsol.pro/ на 7 что ли миллионов .. но поскольку отправитель их сразу же удалил ничего больше сказать не могу

И да назначение платежа : отчуждение прав... Это так услуги багхантеров называются? (кстати, здесь да, пожалуй, я бы только так с налоговой бы и работал.. бухгалтерия иначе бы и не поняла)

Это были картинки перечислений от агрегатора для самозанятых. Но суммы, которые вы там демонстрировали, превышают годовой лимит разрешенный для самозанятого. Так что вопрос не снят

Да, хороший вопрос. Тем более что, пишут о таких вот возможных последствиях:

начисление обязательных платежей за весь период просрочки и штрафные санкции за нарушение сроков отчётности и уплаты налогов

Если немного погуглить, то я предположу, что вы разобрали приложение VK.

Забавно, конечно. В любом случае, просто обращу ваше внимание, что без пруфов подобные статьи вызывают подозрения, а если у вас висит NDA, то лучше об этом и не писать.

(безотносительно, конечно, реальности статьи)

если ориентироваться на опубликованные результаты других багхантеров, указанные в статье цифры выглядят крайне завышенными.

Это как повезёт. Вот, например, профиль пользователя на площадке багбаунти Бизона.

Видно, что где-то он получал и 250к, а где-то и 4к и меньше

В аналогичных отчётах указываются названия компаний.

Это сильно зависит от компании. Я встречал нежелание компаний публиковать мне название этой компании и кейс, который они не посчитали уязвимостью. Других авторов за такое банили на другой площадке багбаунти.

В профиле другого багхантера можно глянуть. Из всех его отчётов раскрыты всего 3:

Скрин со статистикой раскрытых отчётов

Всем привет, спасибо автору за материал, остальным - за внимание к статье :)

Пруфов в формате «вот все отчеты и выплаты» здесь не будет по вполне понятным причинам. Но можем подтвердить, что описанные в статье находки были верифицированы, а выплаты соответствуют реальным результатам исследователя на площадке. Детали кейса раскрыты в том объеме, который допустим с точки зрения правил публикации и раскрытия информации в рамках программы.

Пруфов в формате «вот все отчеты и выплаты» здесь не будет по вполне понятным причинам.

А что это за "вполне понятные причины"? Ограничения самой платформы, через которую неясно сколько заработал багхантер? Если я не ошибаюсь - вот профиль автора на Standoff365.

А вот профиль другого автора на Багбаунти площадке Бизона.

Видим, что у него не только 140 отчётов, но и 11 млн руб

Кроме того, в профиле можно увидеть раскрытые\частично раскрытые отчёты. И никаких "вполне понятных причин" их скрывать у площадки нет.

А показывала бы платформа размер выплаты - не было бы вопросов\сомнений насчёт выплат.

Стиль комментариев и стиль текста это разные уровни - самовлюбленный гопник и академический тимлид. Вообще пора на Хабре запретить постить ИИ сказки

Спасибо, отличный пример как монетизировать опыт CTF.

А токенов на сколько потратили?

Красава. Дальнейших успехов! На хейтеров не обращай внимание, пока пишут комменты и считают твои деньги залутаешь баунти )

Слово "причем" в заголовке данной статьи нужно писать раздельно: "при чём"

Спасибо, исправили.

Очень похоже на приторную рекламу площадки standoff 🤔

Хотелось бы добавить, что в сфере Bug Bounty есть ряд особенностей, которые нужно учитывать: занижение ценности работы (потраченное время могут не оплатить, даже если есть результат, возможно арбитраж платформы встанет на вашу сторону, но это не точно); юридическая сторона вопроса (нарушение правил и законов переводит исследователя из белого хакера в киберпреступники).

Если цель не заработок, а тренировки, то можно использовать любые легитимные площадок с набиванием рейтинга.

в сфере Bug Bounty есть ряд особенностей, которые нужно учитывать: занижение ценности работы (потраченное время могут не оплатить

Поэтому в Bug Bounty на регулярной основе - студенты и безработные (по моим наблюдениям). У которых много времени и могут позволить себе делать сотни отчётов (как и автор статьи - взгляните на его профиль на банаунти площадке) в надежде сорвать куш.

Ну вот собственно ИИ стало позволять генерировать сотни репортов при обозримых трудозатратах. При этом правда на плечи разработчиков сейчас валятся эти сотни репортов из которых кстати большая часть это мусор. Даже если платформа отсеет совсем мусор, то остаются сотни отчётов вида "вы тут не проверяете то-то", хотя оно например проверено в другом месте и т.п.

Думаю, что через некоторое время технологии подтянутся и секьюрити багов просто станет меньше, а в агрегаторах типа hackerone усилится роль рейтинга того кто приносит багу.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Информация

Сайт
www.ptsecurity.com
Дата регистрации
Дата основания
2002
Численность
1 001–5 000 человек
Местоположение
Россия