Sheriff_Light
@Sheriff_Light
Кратко о себе... Нравится природа и саморазвитие

Возможно ли сейчас жить за счет багхантинга?

Всем привет. Есть ли тут опытные bughunter-ы?
Можно ли жить, занимаясь лишь bughunting-ом?

Очень интересует этот вопрос. Как и почему решили этим заниматься?
1) Что требуется, чтобы заниматься поиском уязвимостей веб приложений?
2) Какой инструментарий используете?
3) С чего начинаете искать уязвимости?
4) Используете kali и его софт или , может быть, что-то другое?

Может посоветуете какую-то литуратуру почитать.
Нашел случайно площадку hackerone.com, есть ли еще подобные ресурсы?
  • Вопрос задан
  • 5497 просмотров
Решения вопроса 2
@vilgeforce
Раздолбай и программист
Учите JS, PHP, HTML, Python и все то, на чем приложения строятся. Изучаете HTTP-протокол, Wireshark. Потом можете начинать.
Про Kali как о чем-то уникальном забудьте, там нет ничего такого, что нельзя поставить на другой дистрибутив или даже платформу, потому что OpenSource.
Ответ написан
Dit81
@Dit81
Security researcher, pentester, internet-marketer
Есть много ресурсов, еще например https://bugcrowd.com/ У отдельных вендоров есть свои программы bug bounty. Например https://yandex.ru/bugbounty/? там и уровень цен оцените...
Ошибок еще много, всем хватит. Но и специалистов с каждым годом растет... )
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
Sanes
@Sanes
Устраивайтесь на работу тестировщиком и живите за счет багхантинга.
Ответ написан
@nirvimel
Даже крупные специалисты в этой области не живут на вознаграждения за найденные уязвимости, а имеют некоторую основную работу (в той же сфере, но на окладе). Какими большими не были бы вознаграждения, нахождение бага по сути - просто удача, на которую нельзя полагаться.

P.S.: На Тостере вряд ли сидят опытные багхантеры, получавшие вознаграждение неоднократно.
Ответ написан
Комментировать
Вот интервью с ресерчером, для которого багхантинг - основной источник дохода.
https://habrahabr.ru/company/mailru/blog/276451/
Ответ написан
@redakoc
Да.
Спецы сейчас кругом неквалифицированные. Чуть нестандарт - сразу тупик у них.
Платить квалифицированному за весь проект не хотят.
В этих условиях специалист на отдельный баг весьма и весьма востребован.

Искал багу в индус-коде. Ошибка была тривиальнейшая.
От поиска другой ошибки отказался - не моя квалификация.
Через некоторое время смотрю - тот заказчик ищет спеца найти ту самую ошибку и хочет дать ему 3000 баксов.

Гм. Лучше бы я не отказывался....
Ответ написан
Комментировать
globuzer
@globuzer
gezgrouvingus progreszive ombusgrander greyderzux
Жить комфортно и хорошо за счет поиска ошибок и уязвимостей - это вряд ли. А вот работать в этой сфере, тестирования, отладки, персонализируя себя как специалист разбирающийся во внутренностях приложений, кода, защиты информации - это уже сфера шире, ну и собственно можно нормально зарабатывать. Багхантинг будет всего лишь приятным хобби, в случае хорошей удачи, приносящий дополнительный доход.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы