Первый баг баунти за полгода — делюсь цифрами и граблями

[pynode5808]

Полгода ковыряю программы на HackerOne по вечерам. Итог: 11 валидных репортов, заработал 2300$, из них один IDOR на 1500. Куча дублей и информативов. Если интересно — спрашивайте, отвечу.

[semyon247]

А как ты выбираешь программу? Я открываю любую и просто теряюсь, всё кажется уже проверенным до меня.

[devbyte8767]

Беру свежие программы и новые фичи в старых — там меньше затоптано. Не лезу в Google/PayPal, туда тысячи глаз смотрят. Узкий нишевый SaaS часто золото.

[kolya_flux]

IDOR и broken access control до сих пор кормят больше всего, по статистике HackerOne это топ категория по выплатам уже не первый год. XSS почти везде задушили, а вот логика авторизации ломается постоянно.

[arseny6904]

Подтверждаю, бизнес-логика и BOLA рулят. Автосканеры это не находят, поэтому конкуренции меньше. Burp + руки + понимание домена приложения.

[elena_cloud]

2300 за полгода вечерами это вообще как, окупается по времени или чисто фан и обучение?

[asyncflux983]

Честно — как замена зарплате пока нет, в час выходит немного. Но как прокачка скилла и портфолио бесценно, плюс адреналин когда триаж ставит Resolved. Воспринимаю как платное обучение которое иногда платит мне.

[arseny_cache]

Спасибо за честность, а то в твиттере все только скрины пятизначных выплат постят. Реальная картина мотивирует больше.