Белое хакерство — чек-лист самопроверки
Вопросы
- Чем белый хакер отличается от чёрного в правовом и этическом смысле?
- Что такое scope в программе Bug Bounty и почему out of scope опасен для исследователя?
- Какие элементы должны быть в минимально достаточном отчёте об уязвимости?
- Что такое PoC и зачем он нужен команде вендора?
- Как CVSS связан с размером выплаты в bounty?
- Что такое координированное раскрытие (CVD) и типичный срок эмбарго?
- Чем Bug Bounty отличается от VDP?
- Что означает safe harbor в политике программы?
- Какие этапы проходит отчёт после отправки (triage)?
- Что такое duplicate и как избежать потери приоритета?
- Куда отправляют уязвимости в продуктах Microsoft?
- Чем Google VRP отличается от Patch Rewards?
- Почему программы Apple считаются сложными для новичков?
- Какие три траектории карьеры описаны в разделе?
- Зачем нужны CTF и лаборатории перед атакой реальных сервисов?
- Что такое security.txt по RFC 9116?
- Какие артефакты стоит сохранять при споре о выплате?
- Что такое full disclosure и какие риски он несёт?
- Какие "слепые зоны" остаются во внешних конфликтах вендор–исследователь?
- Какую статью УК РФ в РФ чаще всего упоминают при несанкционированном доступе?
- Чем CVE отличается от CWE?
- Что такое safe harbor и зачем он исследователю?
- Какие поля обязательны в отчёте HackerOne?
- Что такое chaining и почему за него платят больше?
- Чем пентест отличается от Bug Bounty по бюджету компании?
- Что такое Patch Tuesday у Microsoft?
- Почему тест AWS "чужого" аккаунта запрещён?
- Какие артефакты сохранять при споре о prior disclosure?
- Что такое VDP без выплаты и зачем он существует?
- Назовите три платформы-посредника для Bug Bounty.
Практические задания
- Найдите
security.txtу трёх любимых сервисов и выпишитеContactиPolicy. - Пройдите один модуль PortSwigger (например, SQL injection) и оформите учебный мини-отчёт по шаблону из статьи 2.
- Сравните scope двух программ на HackerOne и отметьте различия в запретах (DoS, социнженерия).
- Рассчитайте CVSS 3.1 для учебного IDOR с калькулятором FIRST.
Если на половину вопросов ответ уверенный — вернитесь к основам и оформлению отчёта. Для практики — тестирование ИБ.