Возможно ли сейчас жить за счет багхантинга?

Question

[Eugene Dyakonov]

Всем привет. Есть ли тут опытные bughunter-ы?
Можно ли жить, занимаясь лишь bughunting-ом?

Очень интересует этот вопрос. Как и почему решили этим заниматься?
1) Что требуется, чтобы заниматься поиском уязвимостей веб приложений?
2) Какой инструментарий используете?
3) С чего начинаете искать уязвимости?
4) Используете kali и его софт или , может быть, что-то другое?

Может посоветуете какую-то литуратуру почитать.
Нашел случайно площадку hackerone.com, есть ли еще подобные ресурсы?

Answer 1

[Владимир Мартьянов]

Учите JS, PHP, HTML, Python и все то, на чем приложения строятся. Изучаете HTTP-протокол, Wireshark. Потом можете начинать.
Про Kali как о чем-то уникальном забудьте, там нет ничего такого, что нельзя поставить на другой дистрибутив или даже платформу, потому что OpenSource.

Comments

[Eugene Dyakonov]

Я в данный момент web программист(php, html, js не проблема). Про wireshark слышал, уже давненько стоит, с linux общаться умею. А я считал, что kali что-то полезное, согласен, что там много лишнего, просто все собрано, что можно. Может быть, еще какие советы подскажете?

[Владимир Мартьянов]

Eugene Dyakonov: Дедушка Ленин как сказал? Учиться, учиться и еще раз учиться.

[Eugene Dyakonov]

Владимир Мартьянов: а вы занимаетесь или увлекаетесь поиском уязвимостей?

[Владимир Мартьянов]

Eugene Dyakonov: Я реверсингов 8 лет занимаюсь по 40+ часов в неделю. И не Web.

[Eugene Dyakonov]

Владимир Мартьянов: может у вас профиль на хабре есть? публикуете статьи?
может подскажите литературу интересную по вебу(я вижу, что вы вебом не занимаетесь, но можно и из вашей области)

[Владимир Мартьянов]

Eugene Dyakonov: Не публикую с тех пор как там начал публиковаться откровенный шлак.

[sim3x]

Владимир Мартьянов: у тебя сильная выдержка - 40 часов в неделю отсидеть

[Владимир Мартьянов]

sim3x: Если интересно - и больше можно просидеть, чо уж.

[Eugene Dyakonov]

Владимир Мартьянов: а что, если это основная работа, да еще и задание интересное, то можно и дольше просидеть, даже и не заметишь, как время пролетит

[Владимир Мартьянов]

Eugene Dyakonov: Если вы не заметили, примерно тоже самое я уже и написал.

[sim3x]

Владимир Мартьянов: несомненно. Вопрос именно в графике. Заставить себя рыскать 8 часов без зацепок - сложновато

[Владимир Мартьянов]

sim3x: Кто сказал "без зацепок"? Исполняемые файлы обычно можно понять, вопрос во времени.

[sim3x]

Владимир Мартьянов: и кто просит (заказывает) искать уязвимости в своих бинарниках? (если нда, то хотя б области, в которых фирмы работают)

[Владимир Мартьянов]

sim3x: Реверсинг и поиск уязвимостей можно вести без заказа, при этом еще и совершая хорошие дела? :-) Trojan.Encoder как слово для погуглить ;-)

[sim3x]

Владимир Мартьянов: но кушать-то все равно нужно, а "спасибо" сыт не будешь :(

[Владимир Мартьянов]

sim3x: Учитесь видеть дальше!

[sim3x]

Владимир Мартьянов: не совсем понял?

[Владимир Мартьянов]

sim3x: Ну вот почитайте что такое Trojan.Encoder, подумайте зачем их реверсить и где тут деньги в частности и реверсинге троянов вообще. Удачи!

[sim3x]

Владимир Мартьянов: я к сожалению вижу тут только продавать услуги частникам и продавть самплы антивирусникам.
Я просто не понимаю какую сумму готовы отдавать за возврат инфы - какие там порядки, хотя бы?

[Владимир Мартьянов]

sim3x: Нормально все у хороших реверсеров, просто поверьте на слово ;-)

[sim3x]

Владимир Мартьянов: ну тогда буду считать, что 2к+ уе ты стабильно получаешь :)

[Владимир Мартьянов]

sim3x: Некоторые, как гласит молва, и дома на Рублевке покупали...

[sim3x]

Владимир Мартьянов: хммм
Странно покупать дом в таком холодном месте
Лучше уж в местах потеплее

[Владимир Мартьянов]

sim3x: У каждого свои понятия о хорошей жизни...

[Stalker_RED]

sim3x: Я думаю, имеется в виду реверс троянов-шифровальщиков, и расшифровка файлов. Естественно заказывают такую работу не сами авторы троянов, а их жертвы. Ну и антивирусные компании, может быть.

[sim3x]

Stalker_RED:
Возможно ли сейчас жить за счет багхантинга?

Answer 2

[Дмитрий]

Есть много ресурсов, еще например https://bugcrowd.com/ У отдельных вендоров есть свои программы bug bounty. Например https://yandex.ru/bugbounty/? там и уровень цен оцените...
Ошибок еще много, всем хватит. Но и специалистов с каждым годом растет... )

Comments

[Eugene Dyakonov]

вы сами увлекаетесь багхантингом?

[Дмитрий]

Eugene Dyakonov: немного... ) Иногда публикую найденные XSS )

[Eugene Dyakonov]

Дмитрий: а где публикуете?)

[Дмитрий]

Eugene Dyakonov: в приоритете hackerone.com и xssposed.org )

[Дмитрий]

Eugene Dyakonov: но иногда пишу напрямую в компании... Иногда благодарят, иногда нет :)

[Eugene Dyakonov]

Дмитрий: спасибо большое за ответы

[Eugene Dyakonov]

Дмитрий: а можете что-то посоветовать из инструментария? или все ручками ?

[Дмитрий]

Eugene Dyakonov: основной инструмент это голова! ) Затем burp suite и всякие sqlmap и dsxs.py

[Eugene Dyakonov]

Дмитрий: спасибо еще раз, sqlmap действительно полезная софтинка, а вот про dsxs.py не слышал

Answer 3

[Sanes]

Устраивайтесь на работу тестировщиком и живите за счет багхантинга.

Comments

[Владимир Дубровин]

Это распространенное заблуждение о тестировании, а на самом деле тестировщики крайне редко занимаются багхантингом по работе.

[Sanes]

Владимир Дубровин: Значит надо найти такое место, где вашей задачей будет поиск уязвимостей и багов. Мы же не говорим о тестировании дизайна.

[Saboteur]

Владимир Дубровин: Неверно. Именно этим они и занимаются. Главное доказать, что это баг.

[Tremo]

Я думаю , что как минимум нужно не плохо разбираться в программирования. Как ты найдешь баги в коде если ты не можешь понять что там написано?

[Sanes]

tremo0880: Методом грубой силы))) Жмёшь все подряд кнопки, если че-нить отвалится, значит бага.

[Eugene Dyakonov]

Sanes: ахахах, хороший совет )

Answer 4

[nirvimel]

Даже крупные специалисты в этой области не живут на вознаграждения за найденные уязвимости, а имеют некоторую основную работу (в той же сфере, но на окладе). Какими большими не были бы вознаграждения, нахождение бага по сути - просто удача, на которую нельзя полагаться.

P.S.: На Тостере вряд ли сидят опытные багхантеры, получавшие вознаграждение неоднократно.

Answer 5

[Владимир Дубровин]

Вот интервью с ресерчером, для которого багхантинг - основной источник дохода.
https://habrahabr.ru/company/mailru/blog/276451/

Comments

[Eugene Dyakonov]

спасибо, натыкался на данную статью, такие зарплаты - единичные случаи, мне кажется, но радует, что все таки они есть

[Владимир Дубровин]

Eugene Dyakonov: багхантеры это вообще единичные случаи. В России багхантеров, которые в принципе что-то на этом зарабатывают не больше двух десятков.

[Дмитрий]

Владимир Дубровин: и слава богу! А то если их станет в десятки раз больше, то и ошибок станет меньше! )

[nirvimel]

По поводу количества нулей в цифрах зарплаты: https://habrahabr.ru/company/mailru/blog/276451/#c...

Answer 6

[redakoc]

Да.
Спецы сейчас кругом неквалифицированные. Чуть нестандарт - сразу тупик у них.
Платить квалифицированному за весь проект не хотят.
В этих условиях специалист на отдельный баг весьма и весьма востребован.

Искал багу в индус-коде. Ошибка была тривиальнейшая.
От поиска другой ошибки отказался - не моя квалификация.
Через некоторое время смотрю - тот заказчик ищет спеца найти ту самую ошибку и хочет дать ему 3000 баксов.

Гм. Лучше бы я не отказывался....

Answer 7

[globuzer]

Жить комфортно и хорошо за счет поиска ошибок и уязвимостей - это вряд ли. А вот работать в этой сфере, тестирования, отладки, персонализируя себя как специалист разбирающийся во внутренностях приложений, кода, защиты информации - это уже сфера шире, ну и собственно можно нормально зарабатывать. Багхантинг будет всего лишь приятным хобби, в случае хорошей удачи, приносящий дополнительный доход.

Comments

[xenuz]

ну все относительно...