О разделе
Здесь собран полный маршрут по белому хакерству: кто такие этичные исследователи, как они находят и документируют уязвимости, куда отправляют отчёты, как устроены Bug Bounty у крупнейших IT-компаний и чем отличается работа в штате от независимого исследователя.
Раздел полезен разработчикам, тестировщикам, будущим специалистам по ИБ и всем, кто слышал про «белых хакеров» и хочет понять процесс без мифов. Базовые атаки и OWASP — в 8.07 и тестировании ИБ; здесь фокус на взаимодействии с вендором и экономике поиска дыр.
С чего начать
| Шаг | Статья | Содержание |
|---|---|---|
| 1 | Белое хакерство — основы | «Шляпы», закон, этика, пентест и штатный AppSec |
| 2 | Как ищут и оформляют уязвимости | Scope, PoC, CVSS, шаблон отчёта, артефакты |
| 3 | Bug Bounty и координированное раскрытие | CVD, платформы, triage, выплаты, safe harbor |
| 4 | Программы техгигантов | Microsoft, Google, Apple, Meta, Amazon, GitHub, Яндекс и др. |
| 5 | Карьера и обучение | Должности, сертификации, CTF, доход |
| 6 | Когда доверие ломается | Споры вендоров и исследователей, публичное раскрытие, доказательная база |
Маршруты по ролям
| Кто вы | Маршрут | Время (оценка) |
|---|---|---|
| Новичок в ИБ | 1 → 2 → 3 → лаборатории из 5 | 2–4 недели теории + практика |
| Разработчик | 1 (роли) → 2 (отчёт) → OWASP в 8.07 | 1–2 недели |
| Тестировщик | 7.05/123 → 2 → 3 → 4 | 2 недели |
| Будущий bounty hunter | 2 → 3 → 4 → 5 → первая программа на HackerOne | 1–3 месяца до первого valid |
| Инженер вендора (triage) | 3 → 6 → 2 | 1 неделя |
Шесть основных статей + итоги и чек-лист. Материал рассчитан на справочное чтение: можно начать с основ и оформления отчёта, остальное — по задаче.
Что нужно знать заранее
- HTTP, REST, базовые инъекции.
- Триада CIA и идея риска.
- По желанию — тестирование ИБ для пентест-контекста.
Связанные материалы
- Инъекции, уязвимости API — технические классы проблем, которые чаще всего попадают в bounty-отчёты.
- Легальный сбор информации — OSINT в рамках разрешённой разведки.
- Внешние ориентиры: белый хакер, чёрная шляпа, профессия на Практикуме.
Белое хакерство — основы
Этичный хакер, белая и чёрная шляпа, закон, согласие владельца системы, отличие от пентеста и штатной безопасности.
Как ищут и оформляют уязвимости
Scope, воспроизведение, PoC, CVSS, шаблон отчёта и артефакты — от гипотезы до тикета в MSRC или HackerOne.
Bug Bounty и координированное раскрытие
Программы вознаграждений, CVD, платформы HackerOne и Bugcrowd, triage, safe harbor и жизненный цикл отчёта.
Программы Bug Bounty техгигантов
MSRC, Google VRP, Apple, Meta, Amazon, GitHub, Яндекс, VK — куда писать, scope, выплаты и особенности процесса.
Карьера в белом хакерстве
Должности AppSec и Red Team, независимый исследователь, сертификации OSCP, обучение и CTF.
Когда доверие между вендором и исследователем ломается
Споры о prior disclosure, full disclosure, доказательная база и уроки кейса Microsoft 2026 без выбора стороны.
Белое хакерство — итоги
Краткое резюме раздела 8.09 — этика, отчёты, Bug Bounty, техгиганты и конфликты раскрытия.
Белое хакерство — чек-лист самопроверки
Вопросы для закрепления раздела о белом хакерстве, Bug Bounty и координированном раскрытии.
Белое хакерство — о разделе
Полный маршрут по белому хакерству — scope, PoC, CVSS, HackerOne, MSRC, выплаты, карьера AppSec и Red Team, кейсы конфликтов с вендорами.
В подборках
Инфобез — Основы информационной безопасности — о разделе, Тестирование информационной безопасности, Информационная безопасность — о разделе.