Как заработать на #BugBounty

Начинаем новый видеокаст о практической B2B кибербезопасности или, короче говоря, Подкаст ОБИБЭ. В первом выпуске говорим про Bug Bounty программы — что они дают компаниям и багхантерам. Специально для подписчиков канала Kaspersky Tech Russia выкладываем полную версию подкаста. Если у вас чуть меньше свободного времени — выпуск без технических деталей мы собрали здесь    • Как заработать на #BugBounty компаниям и и...  . Невошедшее мы отметили в таймкоде звёздочкой ⭐️. За столом: Владимир Дащенко, эксперт кибербезопасности в Kaspersky ICS CERT Андрей Лёвкин, старший специалист управления анализа защищенности и идейный вдохновитель платформы BI.ZONE Филипп Никифоров, старший специалист группы исследований безопасности мобильных приложений, Positive Technologies Алексей Гришин, руководитель отдела Bug Bounty VK Андрей Лёвкин в Telegram: https://t.me/Andrew_Levkin
Филипп Никифоров в Telegram: https://t.me/impact_l
Алексей Гришин в Telegram: https://t.me/mokando
Таймкоды 0:00 Интро 0:31 Знакомство 1:33 Что такое Bug Bounty 5:12 Жить на BB реально? 6:36 Зачем компаниям делать BB 8:52 Как определить скоуп 10:17 Кого зовут в приватки 11:50 Какую платформу BB выбирать 13:31 Дают ли в VK CVE? ⭐️ 15:02 Как вендоры выбирают платформу для BB ⭐️ 17:01 Заработок на одних XSS? 18:04 Векторы, которыми не хочется делиться 18:51 Пара слов про автоматизацию ⭐️ 19:24 Какие компании выходят на BB 20:57 Госдеп и откуда пошло BB 23:05 Как появился Hackerone 24:03 Как взламывают Пентагон 25:03 BB целого города? 25:23 Про 1 day block ⭐️ 27:56 Хакер в шкуре багхантера? 29:35 Как отрабатывать проникновение 31:27 Арбитраж и споры с вендором 33:09 Почему вендоры отрицают косяки? 36:52 Рекомендации вендорам при выходе на BB 39:46 Соизмеримы ли выплаты и поиск уязвимостей? ⭐️ 40:44 Легальные выплаты или эксплойт брокеры? 43:46 История с HackingTeam ⭐️ 47:37 Хедхантинг на багхантеров? 50:27 Приватные программы ≠ низкооплачиваемые 51:12 Про угон трактора и BB для IoT 55:19 В чем разница между Pwn2Own и BB ⭐️ 57:41 Что делать если цель out of scope? 59:30 Про доверие исследователей к вендорам 1:02:49 О пылесосах и хакерах 1:04:25 Кепки и футболки ⭐️ 1:06:04 Когда хакерам надо давать доломать до импакта ⭐️ 1:09:03 Про расширенные области видимости 1:10:14 Средние выплаты в BB 1:13:45 Как разработчику и новичку дорасти до ББ 1:15:58 До бинарных BB программ нужно дорасти ⭐️ 1:17:07 Полезные блоги, ресурсы и имена ⭐️ 1:20:26 Советы начинающим багхантерам 1:23:29 Прощаемся Полезные ссылки багхантерам: Программа Bug Bounty «Лаборатории Касперского» с предусмотренным вознаграждением: https://support.kaspersky.ru/general/...
Блог Фила «Пост Импакта» https://t.me/postImpact
Bug Bounty платформа BI.ZONE https://bi.zone/
Bug Bounty программа VK на BI.ZONE https://app.bugbounty.bi.zone/compani...
PortSwigger блог https://portswigger.net/blog
Блог PT SWARM https://swarm.ptsecurity.com/
Yet another hacker в Телеграм https://t.me/YAH_Channel
Блоги Сергея Боброва https://black.fan/
  / black2fan   Блог Сергея Тошина   / _bagipro   Блог Антона Лопаницына   / wor     / i_bo0om   https://t.me/webpwn
Блог Влада Вектора twitter.com/vlad_vector habr.com/ru/users/vladvector/ Блог и гит Пола Акса   / paul_axe   https://github.com/paul-axe
Блог Антона Субботина   / ska_vans   Гит Сергея Орлова https://github.com/orlserg