Bug Bounty: программы

Bug Bounty — программа вознаграждения за ответственное раскрытие уязвимостей, при которой компания платит исследователям безопасности за найденные баги до их эксплуатации злоумышленниками.

Зачем нужно

Bug Bounty позволяет организациям привлечь тысячи независимых исследователей безопасности без постоянных затрат на штат. Разработчику важно понимать программы с двух сторон: как защитить свой продукт и как легально зарабатывать на поиске уязвимостей. Крупные компании (Google, Meta, Microsoft) платят от $500 до $100 000+ за критические находки.

Где используется

• Веб-приложения и API (XSS, IDOR, SQLi, SSRF, Auth bypass)
• Мобильные приложения (Android/iOS)
• Инфраструктура и облачные сервисы
• Протоколы и библиотеки с открытым исходным кодом (через HackerOne, Bugcrowd, Intigriti)

Основной контент

Ключевые платформы

Платформа	Особенности
HackerOne	Крупнейшая, >2000 программ
Bugcrowd	Управляемые программы
Intigriti	Европейский акцент
Synack	Только проверенные исследователи
Самостоятельные	Google VRP, Meta, Microsoft MSRC

Типичная severity-классификация (CVSS)

Critical  9.0–10.0  → RCE, auth bypass, массовая утечка данных
High      7.0–8.9   → SQLi, SSRF, IDOR с широким доступом
Medium    4.0–6.9   → Stored XSS, CSRF, утечка конфиг
Low       0.1–3.9   → Reflected XSS, info disclosure

Пример отчёта об уязвимости (структура)

## Summary
IDOR в /api/v1/invoices/:id позволяет читать чужие счета.

## Steps to Reproduce
1. Авторизуйтесь как user_A (id=100)
2. GET /api/v1/invoices/42  (invoice принадлежит user_B)
3. Сервер возвращает полные данные счёта

## Impact
Любой авторизованный пользователь может читать финансовые
данные других пользователей.

## Severity: High (CVSS 7.5)

Scope и out-of-scope

# IN SCOPE (обычно)
# - app.example.com
# - api.example.com
# - Мобильные приложения из официального стора

# OUT OF SCOPE (типичные исключения)
# - DoS/DDoS атаки
# - Social engineering сотрудников
# - Атаки на инфраструктуру третьих сторон
# - Теоретические уязвимости без PoC

Частые ошибки

• Нарушение scope программы — тестирование запрещённых доменов/сервисов
• Отправка дублирующего отчёта без проверки known issues
• Отсутствие чёткого Proof of Concept (PoC) — отчёт отклонят
• Раскрытие уязвимости публично до окончания срока исправления (ответственное раскрытие требует ожидания 90 дней)
• Тестирование production-данных реальных пользователей

Связанные темы

• _MOC Безопасность
• Penetration Testing -- основы
• SAST и DAST -- статический и динамический анализ
• Веб-безопасность -- зачем и обзор угроз

Ресурсы

• HackerOne Hacktivity
• OWASP Testing Guide
• PortSwigger Web Security Academy