Дневник хакера | Охота на баунти
19
Решил поучаствовать в одной крупной баг-баунти программе (не буду называть компанию — NDA, вы понимаете 😎). Выбрал направление — новые сервисы, которые недавно попали в скоуп. Там обычно защита послабже, а баги пожирнее 💰
📊 Статистика за день
Время работы: ~5 часов
Найдено уязвимостей: 3 шт.
Отправлено репортов: 0 (пишу завтра)
Потенциальный доход: 50-85k ₽ 🤑
🛠 Что использовал
Инструменты:
• Amass — DNS enumeration (пассивный разведка)
• Subfinder + httpx — поиск живых поддоменов
• OpenSSL — анализ SSL/TLS конфигурации
• FTP client — fingerprinting сервисов
• Burp Suite — перехват и анализ (основа основ!)
• Nuclei — проверка на известные CVE
Методология:
- Пассивная разведка (DNS, subdomains, tech stack)
- Fingerprinting активных сервисов
- Manual testing критичных точек
- Написание подробных PoC
🎯 Что нашёл (без деталей)
Баг #1: Криптографический косяк
Тип: SSL/TLS misconfiguration
Критичность: Medium
Где: Один из поддоменов
Что не так: Сервер не отдаёт SSL-сертификат, TLS handshake обрывается
Impact: Man-in-the-middle potential, service unavailability
Ожидаемая выплата: 30-40k ₽
Как нашёл:
Просто прогнал openssl s_client -connect по всем найденным поддоменам. Один вернул “no peer certificate available” — красный флаг! 🚩
Баг #2: Болтливый FTP
Тип: Information Disclosure / Banner Grabbing
Критичность: Low-Medium
Где: FTP-сервер на production домене
Что не так: Детальные баннеры раскрывают софт, версию, политики безопасности
Impact: Reconnaissance aid, version fingerprinting для CVE
Ожидаемая выплата: 15-30k ₽
Как нашёл:
Amass показал ftp.subdomain.ru → подключился через telnet 21 → получил подробный welcome-баннер с названием ПО. Classic banner disclosure.
Баг #3: DNS leak’ит инфру
Тип: Infrastructure Enumeration
Критичность: Informational
Где: Public DNS records
Что не так: В публичном DNS висят записи для testing/staging/internal окружений
Impact: Карта всей внутренней инфраструктуры для атакующего
Ожидаемая выплата: 5-15k ₽
Как нашёл:
Passive DNS enumeration через Amass. Увидел эндпойнты — всё в публичном DNS, хотя хосты за файрволлом. Best practices violation.
📈 Что дальше
Завтра планирую:
- Оформить и отправить все 3 репорта
- Копнуть payment widget — там JS-файлы с потенциальными hardcoded токенами
- Обойти rate limiting через браузер + Burp для тестирования API
- Если найду IDOR/auth bypass → это уже 150-300k ₽ 💸
Потенциал завтра: +200-400k ₽ (если повезёт с payment инфрой)
🎓 Мысли вслух
Баг-баунти — это не про “взломать всё подряд”, а про:
• Методичность — проверяй каждый поддомен, каждый порт
• Терпение — иногда нужно ждать снятия rate-limit’а
• Качество > количество — один хороший репорт лучше 10 дубликатов
• Уважение к правилам — DoS, brute-force, чужие данные = бан
Главный урок дня:
Даже крупные компании с миллиардными бюджетами имеют банальные misconfiguration’ы. Не ищи сложное — начни с простого.
💰 Прикинем математику
Реалистичный сценарий (conservative estimate):
• Баг #1 принят → 35k ₽
• Баг #2 принят → 20k ₽
• Баг #3 принят → 8k ₽
Итого: 63k ₽ за 5 часов работы = 12,600 ₽/час 🔥
Оптимистичный сценарий:
• Все баги на верхней границе → 85k ₽
• Завтра найду IDOR в payment API → +150k ₽
• Итого: 235k ₽ за 2 дня 💎
Конечно, это всё до триажа. Могут понизить severity или вообще посчитать дубликатами. Но я чувствую — эти находки уникальны.
🔐 Напоминание
90 дней NDA — поэтому не пишу названия компании и конкретные домены. Когда получу подтверждение выплат и истечёт disclosure period — запилю полный write-up с техническими деталями.
Stay tuned!