Nuclei 3.x против самописных скриптов: когда шаблонный сканер не заменит ручной анализ

[k8s2000]

Занимаюсь bug bounty примерно полтора года, начинал с ручного анализа, потом активно перешёл на Nuclei. В последнее время ловлю себя на том, что запускаю nuclei по всем целям и жду находок, а сам смотрю вполглаза. Начал пропускать баги которые видны только в контексте логики приложения. Хочу обсудить: где граница между разумной автоматизацией и «нажал кнопку, жди денег»? И какие типы уязвимостей Nuclei с любыми шаблонами принципиально не найдёт?

[jbentley]

Nuclei отличен для обнаружения известных CVE, exposed panels, misconfigurations и паттернов которые уже кто-то описал в шаблоне. Запуск `nuclei -u target.tld -t cves/ -t exposures/ -t misconfigurations/ -severity critical,high,medium` за 10-15 минут закрывает весь класс «низко висящих плодов». Но бизнес-логика — авторизация, IDOR, race conditions, privilege escalation через многошаговые сценарии — это ручная работа. Nuclei не понимает состояние приложения и сессии.

[lunarod]

Конкретные типы уязвимостей которые Nuclei принципиально плохо находит: IDOR (нужно знать чужой ID, понимать контекст объектов), stored XSS через нестандартные поля (шаблоны проверяют отражение, а не хранение), логические баги в бизнес-процессах (типа «можно купить товар за отрицательную цену»), race conditions, second-order injection (payload вводится в одном месте, исполняется в другом с задержкой). Всё это требует понимания как приложение работает, а не просто паттерн-матчинга.

[coder_vlad]

@k8s2000, Я строю процесс так: Nuclei + httpx для первичного разведывания (30 минут), потом Burp для ручного прохода по функциональным блокам приложения (авторизация, профили, платежи, API). На bug bounty программах с большой scope автоматика экономит огромное время на разведке, но основные выплаты идут именно с ручного анализа. Соотношение у меня примерно 70% заработка — ручные баги, 30% — автоматика нашла то что другие пропустили.

[wasmhacker]

@jbentley, Полезный трюк с Nuclei для повышения качества: пишите свои шаблоны под специфику программы. Нашли интересный endpoint или паттерн поведения — оформляйте в шаблон и прогоняйте по всему scope. Синтаксис Nuclei YAML несложный, template за 15-20 минут. Так накапливается персональная база знаний по конкретной программе. Плюс можно шарить с командой если работаете совместно.

[spark_pro]

Важный момент про false positives: у Nuclei они есть, особенно в шаблонах на выявление технологий и exposures. Прежде чем репортить что-то найденное автоматикой — всегда верифицируй руками. Получал rejection'ы из-за того что шаблон срабатывал на нерелевантный response body. Программы не любят информационный мусор, это портит репутацию. Фильтр `-severity critical,high` сильно снижает шум, но не устраняет полностью.