Первый месяц в Bug Bounty: итоги, цифры и выученные уроки
ВведениеМой путь в ИБ начался с нуля - у меня не было опыта работы и образования в айти в целом, будь это системное администрирование или программирование. Я просто планомерно учился и сдавал сертификации. За три года у меня собрался определенный стек: OSCP, HTB CWES, CRTP, PNPT, PJPT, PJOR, CompTIA A+, Network+ и Security+.Когда пришло время искать работу пентестером, я столкнулся с реальностью: вакансий в моем регионе почти нет, а те, что находил, не приносили даже приглашений на собеседование. Профиль без практического опыта не вызывал интереса у работодателей. Чтобы начать нарабатывать реальный стаж, я решил попробовать себя в багхантинге.Основная цель была простой получить опыт и проверить свои знания в бою, а не в лабораторной среде. Ну и, конечно, был интерес заработать репутацию практика и получить первые выплаты.Выбор площадкиЯ решил начать с локальной казахстанской платформы RTeam. На мировых площадках вроде HackerOne меня пугала огромная конкуренция - казалось, что новичку там делать нечего, всё уже найдено до меня. Я не смогу конкурировать с лучшими хакерами из всего мира. На RTeam у меня была программа с маленьким скоупом. Первое время я не столько искал баги, сколько экспериментировал, пробовал применять методы, о которых недавно узнал, изучал новые тулзы в багхантинге. Я не ставил задачу сразу найти уязвимости, а старался больше вникнуть в то, как всё устроено.Месяц в цифрахИзначально мои ожидания были скромными: я надеялся найти хотя бы одну небольшую уязвимость. В итоге за месяц активной работы получилось отправить 9 отчетов. Читать далее
03:45
03:24
15:50
