Белое хакерство — чек-лист самопроверки
Вопросы
- Чем белый хакер отличается от чёрного в правовом и этическом смысле?
- Что такое scope в программе Bug Bounty и почему out of scope опасен для исследователя?
- Какие элементы должны быть в минимально достаточном отчёте об уязвимости?
- Что такое PoC и зачем он нужен команде вендора?
- Как CVSS связан с размером выплаты в bounty?
- Что такое координированное раскрытие (CVD) и типичный срок эмбарго?
- Чем Bug Bounty отличается от VDP?
- Что означает safe harbor в политике программы?
- Какие этапы проходит отчёт после отправки (triage)?
- Что такое duplicate и как избежать потери приоритета?
- Куда отправляют уязвимости в продуктах Microsoft?
- Чем Google VRP отличается от Patch Rewards?
- Почему программы Apple считаются сложными для новичков?
- Какие три траектории карьеры описаны в разделе?
- Зачем нужны CTF и лаборатории перед атакой реальных сервисов?
- Что такое security.txt по RFC 9116?
- Какие артефакты стоит сохранять при споре о выплате?
- Что такое full disclosure и какие риски он несёт?
- Какие «слепые зоны» остаются во внешних конфликтах вендор–исследователь?
- Какую статью УК РФ в РФ чаще всего упоминают при несанкционированном доступе?
- Чем CVE отличается от CWE?
- Что такое safe harbor и зачем он исследователю?
- Какие поля обязательны в отчёте HackerOne?
- Что такое chaining и почему за него платят больше?
- Чем пентест отличается от Bug Bounty по бюджету компании?
- Что такое Patch Tuesday у Microsoft?
- Почему тест AWS «чужого» аккаунта запрещён?
- Какие артефакты сохранять при споре о prior disclosure?
- Что такое VDP без выплаты и зачем он существует?
- Назовите три платформы-посредника для Bug Bounty.
Практические задания
- Найдите
security.txtу трёх любимых сервисов и выпишитеContactиPolicy. - Пройдите один модуль PortSwigger (например, SQL injection) и оформите учебный мини-отчёт по шаблону из статьи 2.
- Сравните scope двух программ на HackerOne и отметьте различия в запретах (DoS, социнженерия).
- Рассчитайте CVSS 3.1 для учебного IDOR с калькулятором FIRST.
Если на половину вопросов ответ уверенный — вернитесь к основам и оформлению отчёта. Для практики — тестирование ИБ.
См. также
Другие статьи этого же раздела в боковом меню (как на странице "О разделе"). Этичный хакер, белая и чёрная шляпа, закон, согласие владельца системы, отличие от пентеста и штатной безопасности. Scope, воспроизведение, PoC, CVSS, шаблон отчёта и артефакты — от гипотезы до тикета в MSRC или HackerOne. Программы вознаграждений, CVD, платформы HackerOne и Bugcrowd, triage, safe harbor и жизненный цикл отчёта. MSRC, Google VRP, Apple, Meta, Amazon, GitHub, Яндекс, VK — куда писать, scope, выплаты и особенности процесса. Должности AppSec и Red Team, независимый исследователь, сертификации OSCP, обучение и CTF. Споры о prior disclosure, full disclosure, доказательная база и уроки кейса Microsoft 2026 без выбора стороны. Краткое резюме раздела 8.09 — этика, отчёты, Bug Bounty, техгиганты и конфликты раскрытия.Белое хакерство — основы
Как ищут и оформляют уязвимости
Bug Bounty и координированное раскрытие
Программы Bug Bounty техгигантов
Карьера в белом хакерстве
Когда доверие между вендором и исследователем ломается
Белое хакерство — итоги