Здравствуй %username%. Каждый багхантер зарабатывает по-своему. Один профессионально ищет xss, другой пытается эксплуатировать xxe, кто-то разбирает приложения для смартфонов, кто-то всё и сразу, но их объединяет одно — чтобы заработать на этом не снимая белой шляпы — нужны вендоры, которые платят за каждый баг, поэтому я приготовил список сервисов, позволяющих заработать ловцам ошибок.
bughunt
Новоиспечённый bughunt представляет собой площадку с вендорами и выделенным на пентест бюджетом, в целом, логика такая, что кто успел — тот и съел, как и в других подобных площадках. Чтобы получить денюжку нужно выполнить одно из условий, указанных заказчиком. Есть страница с тарифами и если ты нашёл что-то, то уже точно знаешь, какую награду получишь. Заметно, что там жестко контролируется этика белой шляпы и зарегистрироваться с фейковыми данными там можно, только вот награду вы не сможете получить, ибо право носить белую шляпу не подразумевает анонимность (что, впринципе, справедливо). Деньги поступают на банковскую карту, которую в свою очередь указываешь в кабинете.
fixber
Fixber не что иное как фриланс для тестировщика. Там требуется и нагрузочное тестирование, и тестирование дизайна, и функционала. Конечно же есть поиск уязвимостей, но если ты каким-то вектором вызвал ошибку и сломал нахрен дизайн — это повод написать вендору и получить награду. Хочу отметить, что там присутствует так называемая система торгов. Найдя ошибку, ты сам называешь цену, в свою очередь другой может поставить цену ниже и «купят» его. Не исключено, что некоторые хитрожопые вендоры могут посмотреть описание уязвимости и продать самому-себе, тем самым сэкономив бюджет. Деньги падают на счёт в кабинете. На текущий момент минимальная сумма на вывод средств составляет 500 рублей, а вывести можно только с помощью webmoney.
bugcrowd
Bugcrowd — это не только площадка с сайтами для тестирования, а ещё и крутой, обновляемый The Bug Bounty List! Удобный, большой и толстый список множества программ с охотой на ошибки, в которых можно поучаствовать отдельно от bugcrowd. На самой площадке тестировать придется различные забугорные сервисы, проверяют ошибки очень долго, иногда приходится спорить, что это баг, а не фича. Но в целом — проект положительный. Платят в вечно-залёными, правда вывести оттуда по этой же причине не пробовал. Надеюсь счёт не сгорает.
Итак, это основные площадки, которые могут занять свободное время для багхантера, но не стоит исключать различные freelansim.ru, fl.ru, правда задачи на пентест там попадаются редко. Если ты, %username%, встречал и работал с какими-нибудь другими площадками — милости прошу в комменты, посмотрим, потыкаем 😉