Белое хакерство — итоги
Резюме раздела
Белое хакерство — поиск и сообщение об уязвимостях с согласия владельца системы. От чёрного хакерства его отделяют намерение, договор (или policy программы) и канал отчёта, а не набор утилит.
CVE / CWE — язык общения с вендором; в отчёте указывают класс слабости и воспроизводимый PoC.
Пентест — проект с SoW и ретестом; Bug Bounty — краудсорсинг с выплатой за valid finding; VDP — легальный канал без обязательной оплаты.
CVD — приватный отчёт → патч → CVE/advisory; сроки часто 45–90 дней. Full disclosure — крайняя мера при сбое процесса.
Платформы — HackerOne, Bugcrowd, Intigriti; у гигантов свои порталы (MSRC, Google bughunter, Apple Security Bounty).
Карьера — AppSec, Red Team, SOC, консалтинг, независимый исследователь; вход через CTF, PortSwigger, первый легальный отчёт.
Конфликты (в т.ч. публичные кейсы 2025–2026) показывают ценность доказательной базы в портале и риски публикации эксплойта до патча.
Ключевые термины
| Термин | Определение |
|---|---|
| Scope | Разрешённые цели и техники |
| Safe harbor | Обещание не преследовать за исследование в рамках policy |
| Triage | Проверка и классификация отчёта |
| Duplicate | Уязвимость уже известна вендору |
| Embargo | Запрет публичных деталей до патча |
| Chain | Несколько багов → критичный impact |
Маршрут по статьям
- Основы — шляпы, закон РФ, Red/Blue/Purple, CVE
- Поиск и отчёт — recon, Burp, CVSS, шаблон, appeal
- Bug Bounty и CVD — платформы, выплаты, security.txt
- Техгиганты — Microsoft, Google, Apple, Яндекс, финтех
- Карьера — роли, зарплаты, сертификаты, книги
- Конфликты — prior disclosure, доказательства, метрики вендора
- Чек-лист
Следующие шаги
- Практика — PortSwigger, Hack The Box.
- Теория атак — 8.07 Информационная безопасность.
- Первая программа — HackerOne Directory или Яндекс Bug Bounty.
См. также
Другие статьи этого же раздела в боковом меню (как на странице "О разделе"). Этичный хакер, белая и чёрная шляпа, закон, согласие владельца системы, отличие от пентеста и штатной безопасности. Scope, воспроизведение, PoC, CVSS, шаблон отчёта и артефакты — от гипотезы до тикета в MSRC или HackerOne. Программы вознаграждений, CVD, платформы HackerOne и Bugcrowd, triage, safe harbor и жизненный цикл отчёта. MSRC, Google VRP, Apple, Meta, Amazon, GitHub, Яндекс, VK — куда писать, scope, выплаты и особенности процесса. Должности AppSec и Red Team, независимый исследователь, сертификации OSCP, обучение и CTF. Споры о prior disclosure, full disclosure, доказательная база и уроки кейса Microsoft 2026 без выбора стороны. Вопросы для закрепления раздела о белом хакерстве, Bug Bounty и координированном раскрытии.Белое хакерство — основы
Как ищут и оформляют уязвимости
Bug Bounty и координированное раскрытие
Программы Bug Bounty техгигантов
Карьера в белом хакерстве
Когда доверие между вендором и исследователем ломается
Белое хакерство — чек-лист самопроверки