Haones
Мне кажется, по началу оно так и происходит у всех. Где-то прочитал статью что там кто-то что-то нашел и пошел попробовать тоже. Вспомнить тот же бум с SQLi. Вставьте в имя пользователя a' OR a=a-- и вы великолепны. Многие не понимают что происходит, но когда у них получается, начинают углубляться в эту тему и подходить к поиску уязвимостей более комплексно.
У меня почти так же вышло - начал с OBB (OpenBugBounty) и тупо вставлял пейлоад с XSS в строку поиска и отправлял отчет на OBB платформу, чтобы они сообщили владельцу сайта. Как эта XSS работала я тогда не понимал, зато сейчас нахожу обходы популярных файерволлов веб-приложений.
Да, я тоже сначала подумал, наверное, речь про российские компании, но посмотрев статью снова, решил, что это не причина в этом случае, учитывая, что речь шла и про другие компании, поэтому решил написать об этом. Спасибо.
Всегда интересно почитать истории от коллег по "охоте за ошибками". Но здесь есть несколько несостыковычек. Я очень сомневаюсь, что их добавил сюда автор, скорее всего редакторы, которые мало знакомы с этой темой. Одна из них:
Самые высокие выплаты за уязвимости у Mail.ru Group — от $2000 до $4000.
Но сам автор говорит об участии в PayPal программе, у которой максимальные выплаты за всю историю программы были до 30.000$, это с легкостью можно проверить, открыв их публичную страницу: https://hackerone.com/paypal
Следовательно, утверждение про "самые высокие выплаты" является здесь ложным.
Вторая про:
Какие уязвимости удаётся обнаружить чаще всего
В этой сфере каждый ищет по своему. В моем же случае наиболее встречаемые уязвимости - это слепой межсайтовый скриптинг (это когда JavaScript код, контролируемый атакующим, выполняется на закрытом портале, как правило, с административными привелегиями).
Находить часто SSRF, RCE, SQLi - это надо быть крайне везучим. В наше время SQLi встречаются все меньше и меньше, так как новые приложения создаются с другими подходами к безопасности. Даже взять историю Московского (https://habr.com/ru/post/421215/) - SQLi, которую он нашел, не так уж и просто обнаружить, учитывая, что она находилась на партнерском портале, доступ к которому получить возможно только при наличии существующего проекта в Steam. Не у многих "охотников за ошибками" есть такие возможности.
Построить бизнес на этом в принципе можно, но это скорее будет выполнение аудитов по контрактам (что в этой статье приведено в разделе "Команда"). На мой взгляд, охота за ошибками уже навсегда останется неким видом фриланса, так как "белые хакеры" часто ищут только определенный тип уязвимостей, когда как аудит может быть комплексным и по его условиям могут быть проверены вообще все уровни корпоративной безопасности, чего не скажешь о поиске ошибок по публичным программам.
Вероятно, серых раньше было больше из-за малой популярности площадок — они тогда только набирали популярность и мало кто знал о них. Многие тогда неосознанно становились "серыми" шляпками. Сейчас же многие серые шляпки остаются таковыми по своему желанию.