Закрыть меню

КИБЕРВИКИПЕДИЯ
SECURITY VISION

Введите термин или слово

Поиск

Bug Bounty

Bug Bounty (англ. "награда за баг") — это программа, в рамках которой компании платят независимым исследователям (этичным хакерам) за обнаружение уязвимостей в их программном обеспечении, веб-сайтах или сетевой инфраструктуре.

Подробное описание

Bug Bounty — это часть стратегии ответственного раскрытия уязвимостей (Responsible Disclosure), позволяющая компаниям находить и исправлять дыры в безопасности до того, как ими воспользуются злоумышленники.

Как это работает?

  1. Компания публикует программу– определяет, какие системы можно тестировать, какие уязвимости искать и сколько за них платят.
  2. Исследователи ищут баги– тестируют сайты, приложения, API и другие компоненты.
  3. Обнаруженные уязвимости отправляются в компанию– через специальные платформы (HackerOne, Bugcrowd) или напрямую.
  4. Компания проверяет и выплачивает вознаграждение– если баг подтверждается, исследователь получает деньги или бонусы (например, мерч или благодарность в Hall of Fame).

Типы уязвимостей, за которые платят:

  • SQL-инъекции
  • Межсайтовый скриптинг (XSS)
  • Уязвимости аутентификации (например, обход 2FA)
  • Утечки данных
  • Уязвимости нулевого дня (Zero-Day)

Популярные Bug Bounty-программы:

  • Google, Apple, Microsoft
  • Facebook, Tesla, Uber
  • GitHub, PayPal, Starbucks

Почему компании это выгодно?

  • Дешевле, чем нанимать постоянных пентестеров.
  • Позволяет привлечь глобальное сообщество исследователей.
  • Уменьшает риск крупных утечек и штрафов.

Бытовые аналогии:

  1. Охотники за головами в Диком Западе– ищут преступников за вознаграждение.
  2. Детективы на фрилансе– расследуют дела за деньги.
  3. Поиск золота– копаешь много, но если найдешь – получишь прибыль.
  4. Розыгрыш лотереи– не факт, что найдешь баг, но если повезет – получишь деньги.
  5. Фриланс-разработчик– выполняешь задачу и получаешь оплату.
  6. Сбор грибов в лесу– ищешь ценные экземпляры (уязвимости) среди обычных.
  7. Поиск сокровищ с металлоискателем– сканируешь код в надежде найти "золотую жилу".
  8. Соревнование по спортивному ориентированию– кто первый найдет уязвимость, тот и получит награду.
  9. Ученый, открывающий новый вид животных– исследователь, который первым находит критический баг.
  10. Коллекционер редких монет– ищешь уникальные уязвимости, за которые хорошо платят.