ReactJS, TypeScript, Micro FrontendsReact fwdays | 27 березня. Долучайся!
×Закрыть

Поиск уязвимостей как заработок

Есть ли на рынке Украины компании, поощряющие поиск уязвимостей в своих сервисах, как это делают например Google и Facebook?
Мне интересен процесс поиска, но искать ради того, что бы потом выложить на хабр или доу и насладиться критикой в сторону компании, как-то не очень хочется, не по человечески это что ли. А вот укреплять изо дня в день сервисы компании, закрывая дыры и избавляя от утечки данных и потери репутации и получать за это оплату — совсем другой стимул.

👍НравитсяПонравилось0
В избранноеВ избранном0
LinkedIn

Похожие топики

Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Приват платит за уязвимости, но там куча условий. Например, чтобы получить вознаграждение, нужно стать его клиентом :) Лично знаю двоих людей, которым заплатили, одному из них — неоднократно. Точка входа вот здесь: privatbank.ua/safeness

Больше, к сожалению, таких фактов в Украине назвать не могу. Да и с расценками типа как у Привата, если они появятся, то заработать на жизнь этим будет сложно. Если тема волнует всерьез, советую смотреть в сторону bug bounty программ основных интернет-гигантов, благо почти все из них (за исключением МС, у которой немного другая стратегия) за это платят.

Неплохо продвинулись в заработке на чужих багах парни из BugCrowd, вот здесь у них список актуальных программ bug bounty bugcrowd.com/...bounty-programs

Если захочешь сделать в этой теме карьеру, то лет через пять смотри в с сторону Vupen, End Game и т.д., но это уже совсем другая история.

Яндекс же проводить щось схоже
company.yandex.ru/security

В Samsung R&D Institute есть соответствующая вакансия.

«У вас такой замечательный сайт. Будет очень печально, если он будет взломан.»

Егору Хомякову это удалось, ищи уязвимости в фреймворках/языках и найдешь свое счастье среди девелоперского комьюнити. В дырах банков и фейсбучиков/мамбточкару счастья не найдешь

Если ты найдёшь уязвимость, а тебя об этом не просили — это медвежья услуга. Даже если компании с этого польза.

Но даже если компания сама даёт канал для поиска уязвимости и оферту — всё равно в большинстве случаев твоя уязвимость отправится на суд... к тому, кто её создал. И не надо быть гением, чтобы предсказать что этот человек попытается отбрехаться. В результате: профит ноль, ты — в чёрном списке [надеюсь ты не был клиентом компании], а уязвимость — скорее всего осталась.

И дело тут в обычной психологии. Редкий руководитель понимает, как работает обратная связь, почему это выгодно, и почему противопоказано делать отрицательную обратную связь через те же каналы которыми осуществляется положительное воздействие.

В общем, не советую этим заниматься. А если уж так хочется — выбирай тёмную сторону. То есть если уж влез в чужую собственность — то бери всё что сможешь унести, и никогда никому об этом не хвастайся. Только в этом случае риск оправдан. Такова сэляви.

Хм, мой опыт показывает обратное

Ну так рассказывай, мы уже все с поп-корном.

А если уж так хочется — выбирай тёмную сторону.
Это еще хуже. На той стороне давно правят бал реальные бандиты и уголовники и шансы очкарику ИТ-шнику попасть к ним в анальное рабство приближаются к 100%.
Времена хакеров-робингудов давно прошли.

Расскажи это Дарту Вейдеру.

// Я и не говорил, что это лучше. Выгоднее — да. И безопаснее. Иначе — просто лох, на которого служба безопасности может поыесить вполне реальные ЧУЖИЕ преступления.
// Робин Гуд — вымышленный персонаж.

Расскажи это Дарту Вейдеру.
Та же фигня, что с Ахметовым, например. Что ему сходили убийства, отжимы бизнесов и прочие шалости, совершенно не значит, что они сойдут качку Васе.
И на одного Ахметова (Вейдера) придется тысяч 300 Вась, которых повязали и влепили пожизенное или пристрелили «коллеги».
Выгоднее — да. И безопаснее.
По безопасности — примерно как бомбить ювелирки. Типа да, выгодно. Какое-то время.
Робин Гуд — вымышленный персонаж.
Да неужели? И Дед Мороз тоже? Не может быть!

Один чувак нашел в уязвимость в Превед-е и его за это таскали по инстанциям разные уголовникиместная служба безопасности и выставили виноватым. Еще один хакер нашел дыру в facebook, на него тоже обрушилась кара. Так что особых отличий в подходе нет.

Сами подумайте, находя дыру вы подставляете под удар менеджера, архитектора QA-ев, PM-ом и прочих контролеров, которые прогавали ошибку.

В общем я вас не отговариваю, просто подумайте еще раз и изучите похожие примеры здесь и на просторах интернета.

С Приватом парень сам винован, для демонстрации уязвимости можно было взть карту родственника или друга, а он взял карту случайного клиента, да и списал с нее не 1 грн, а что-то около 500. Такой клиент может запросто подать на ПриватБанк в суд да несанкционированное списание, потому и была такая буча.

Карта друга — не демонстрация, он мог подсмотреть/спросить пин код или еще какой-то способ доступа, случайный клиент — норм вариант, тем более средства вернул.
Суд? на ПриватБанк? вы что смеетесь?
Во-первых эта шаражка настолько через ж*пу работает, что отследить что-то крайне трудно, во вторых у нас появилось правосудие?

Суть демонстрации уязвимости в получении конфедициальной информации или доступа к средствам жерты без авторизации, соответственно без пин кода или пароля. Здесь без разницы, чья это будет карта, друга или случайного клиента. А по поводу суда — есть международные платежные системы Виза и Мастеркард и они могут оштрафовать любой банк за нарушение правил, в том числе и Приват.

В общем ждём вашу success story здесь или репортаж о вас в новостях

А вам обязательно украинские компании ?
Насколько я знаю наша компания платит за найденные уязвимости
corp.badoo.com/security

Тоже интересно, спасибо за информацию, попробую

Кстати, вспомнил что в мамбе такая же программа есть — corp.wamba.com/...loper/security

Судя по расценкам — несколько недель жесткого секса с кучей софта и ассемблером без каких-либо гарантий результата оцениваются примерно в 50-100 фунтов.
По таким ставкам даже пакистанцы говнокодить не будут.

Вы знаете какие-нибудь другие крупные проекты которые предлагают лучшие условия ?

К сожалению — нет. Т.е. есть такие программы и от других производителей и от лабораторий, но там по условиям работать придется еще дольше (типа найди уязвимость в свежем хроме), что не меняет пропорцию время/деньги.
Собственно я это писал к тому, что как основное занятие поиск уязвимостей для продажи не прокормит.

Евгению Докукину это вроде как удалось. Вот его ресурс: Websecurity — Веб безпека. На websecurity.com.ua/about можно познакомиться с тем, каким образом это ему удаётся.

Подписаться на комментарии