Определение простыми словами
Программа Bug Bounty — это публичные правила «о чём можно сообщать, что нельзя трогать, сколько мы платим». Компания публикует scope (какие домены и продукты в игре), out-of-scope (что не считается), безопасные методы тестирования и таблицу вознаграждений по уровню критичности. Дальше любой ресёрчер может прислать отчёт — обычно через платформу-посредника HackerOne, Bugcrowd, Intigriti или Standoff 365.
Программы делят на публичные (открытые всем) и приватные (по приглашениям). Приватные платят больше, потому что ограниченный пул ресёрчеров находит более редкие баги. Свежий RCE на core-домене Google или Apple оценивается в шестизначные суммы.
Сравнение типов программ
| Тип | Кто участвует | Средняя выплата | Время реакции |
|---|---|---|---|
| VDP (без выплат) | Все | 0 $ + благодарность | Дни-недели |
| Public Bug Bounty | Все зарегистрированные | 50–5000 $ | 2–7 дней |
| Private Bug Bounty | По инвайту | 500–25000 $ | 1–3 дня |
| Live Hacking Event | Топ-ресёрчеры | 1000–100000 $ | На месте |
| Pwn2Own | Команды | 10K–500K $ | Минуты |
Кейсы использования
- Google VRP за 2023 год выплатил 10+ млн $, средний бонус за критический баг в Chrome — 30 000 $.
- Сбербанк, Тинькофф, Озон ведут программы на Standoff 365 и BI.ZONE Bug Bounty: средняя выплата за CVE-достойный RCE — 200–600 тыс. ₽.
- Apple Security Bounty: до 2 млн $ за zero-click full-chain в Lockdown Mode.
- Negative-сценарий: компания запустила публичную программу без подготовки SOC, получила 400 отчётов за неделю, не успела ответить, ресёрчеры выложили детали в публичный доступ.
- Дополнительный мотиватор: репутация на платформе и попадание в топ-100 hall of fame часто приносят оффер от Big Tech.
Технические детали
# Проверить есть ли у домена security.txt с программой
curl -s https://example.com/.well-known/security.txt
# Шаблон security.txt (RFC 9116)
cat > /var/www/html/.well-known/security.txt <<'EOF'
Contact: mailto:security@example.com
Expires: 2026-12-31T23:59:59.000Z
Policy: https://example.com/security/policy
Acknowledgments: https://example.com/security/hall-of-fame
Preferred-Languages: ru, en
EOF
# Подпись отчёта PGP-ключом ресёрчера (без раскрытия деталей)
gpg --output report.txt.asc --encrypt --recipient security@example.com report.txt
# Поиск программ по платформам
curl -s https://hackerone.com/programs/search?query=public | jq '.results[].name'Запуск программы — это не «опубликовали страницу». Нужны: триаж-команда (свои или аутсорс на HackerOne Triage), SLA на ответ, понятный scope, честная таблица выплат и готовность платить. Иначе репутация портится за один скандал в Twitter.
🔥 Где это применяется
Частые вопросы
Можно ли начать в bug bounty без опыта?
Да. Стартовать стоит с публичных программ с большим scope (Yahoo, Reddit) и простых багов: IDOR, открытые редиректы, утечки в JS-бандлах. Первые отчёты учат правильно описывать impact.
Чем bug bounty отличается от пентеста?
Пентест — это контрактная разовая работа за фиксированную сумму с фиксированным scope и сроком. Bug bounty — постоянный процесс, оплата по факту найденного бага, конкуренция между ресёрчерами.
Что такое security.txt?
Это файл по адресу /.well-known/security.txt (RFC 9116), где вендор указывает, как сообщить об уязвимости, политику раскрытия и контакты. Минимум для любой программы.