Эксперимент. Заработал 845.000 руб. на хакинге ЛЕГАЛЬНО
Я поставил себе цель заработать весь кэш легально, поучаствовав в программах BugBounty на сайте hackerone.com.
Сегодня я продолжаю горячо любимую вами рубрику с моими отчетами. Вы вновь узнаете о том, как я зарабатывал себе на жизнь в этом месяце.
В этот раз была поставлена цель заработать весь кэш легально, поучаствовав в программах BugBounty на сайте hackerone.com.
Для чего я это сделал?
- Показать пример ребятам, которые только начинают свой путь. Ведь для того, что бы зарабатывать много - не обязательно лезть в чернуху.
- Сегодня сфера багхантинга актуальна, как никогда. В связи с ситуацией в мире, количество кибератак взлетело до небес. От того все больше и больше компаний готовы платить за свою безопасность.
Ну, а сейчас вкратце расскажу сколько и на каких именно уязвимостях мне удалось заработать:
1. $2.500 заплатил мне TikTok за найденную XSS уязвимость
Уязвимость межсайтового скриптинга (XSS) была обнаружена на конечной точке TikTok Ads. Я просто-напросто загрузил SVG-файл (изображение), которое содержало в себе полезную нагрузку (вредоносный код). И это сработало!
- Кстати, если вы захотите поиграться с уязвимостями XSS, то могу посоветовать вам довольно интересный инструмент под это дело: XSS-LOADER TOOLS
Возвращаясь к найденной уязвимости: я не совру, если скажу, что это самые легкие $2.500 в моей жизни, заняло у меня все это дело от силы час-полтора.
2. $11.500 за критическую уязвимость в сервисе Stripe
В данном случае мне удалось обнаружить токен, который содержался в пригласительной ссылке Taxjar.
Это критическая уязвимость, используя которую злоумышленник мог с легкостью завладеть учеткой пользователя и украсть все его деньги.
Я передал данные о том, чем именно была вызвана уязвимость, а именно: утечкой токена в функции запроса на удаление приглашения.
И дал рекомендации по её устранению: стоит использовать идентификатор приглашения вместо токена.
Да, вот так просто. Как видите, критическая ошибка появилась на ровном месте. Все из-за того, разработчик попросту не подумал о том, что казалось бы безобидную ссылку могут использовать в противоправных целях.
Итого
В общей сложности, с 2-х уязвимостей, мной было заработано $14.000, что равняется ~845.000 руб.
- Из-за санкций приходится все выводить не на банковский счет, а в крипту (благо проблем с этим никаких нет):
Кому-то из вас может показаться, что сумма довольно небольшая. И я с этим соглашусь. Однако, стоит принять во внимание тот факт, что заработал я её всего за 3 дня. Хотел бы отметить, что при желании все легко масштабируется до десятков миллионов рублей.
Простая математика: большинство из вас ходит на работу по графику 5 через 2, что в итоге дает нам ~20 рабочих дней в месяц. Теперь просто представьте, сколько можно заработать за эти 20 дней, занимаясь багхантингом, а не просиживая штаны на работе.
Этим отчетом я хотел на своем примере показать, что хорошие деньги на хакинге можно зарабатывать легально. Надеюсь, что у меня это получилось.