$100k/year from bug bounty - 2024 bounty vlog

Bug Bounty Reports Explained

19 Feb 202513:19

Summary

TLDRВ этом видео автор делится опытом своего пути в мире Bug Bounty. После неудач в первые два года, в 2024 году он достиг успеха, благодаря фокусу на аутентификации и исследованию багов, таких как ATO и эскалация привилегий. Он также рассказывает о своих достижениях, включая участие в HackerOne World Cup и жизни хакерских событиях. В итоге, его успех стал возможен благодаря упорству и времени, проведенному за хакерством, что привело к заработку более 96 тысяч долларов. Главный урок — важно не только знание, но и настойчивость и правильное время для нахождения багов.

Takeaways

😀 В 2021 году автор начал заниматься баг-баунти, с несколькими находками в первый год.
😀 В 2022 году он добился 21 оплаченной отчётности, зарабатывая около $24,000.
😀 2023 год был трудным, автор завершил год с пятью оплаченные отчётами, несмотря на один, который принес $20,000.
😀 В 2024 году автор значительно улучшил свои результаты и заработал $96,347.67.
😀 Главное изменение в 2024 году – стал экспертом в области аутентификации, что принесло ему $55,000 из 14 отчетов.
😀 Автор объясняет, что у него не было ярко выраженной сильной стороны в прошлом, но в 2024 году он стал фокусироваться на аутентификации.
😀 Несмотря на хороший доход от повышения привилегий, автор не наслаждается поиском таких багов и не планирует активно на них фокусироваться в будущем.
😀 Клиентские уязвимости типа RCE в 2024 году принесли $17,000, несмотря на небольшое количество отчетов.
😀 Автор планирует в 2025 году сосредоточиться на инфраструктурных уязвимостях, таких как SSRF, traversal и request smuggling, так как ему они нравятся и их можно автоматизировать.
😀 Автор стал послом HackerOne в Польше и участвовал в мировой стадии HackerOne World Cup, а также принимал участие в нескольких живых хакерских мероприятиях, где ему удалось представить свои находки.
😀 Ключевым уроком 2024 года стало осознание, что в баг-баунти важно не только технические знания, но и упорство, поиск правильных приложений и возможности.
😀 Общий доход от баг-баунти – это лишь часть дохода автора, так как он тратит в среднем три дня в неделю на хакерство.

Q & A

Почему 2023 год оказался таким трудным для автора?
-2023 год был трудным для автора, потому что он не смог продолжить успехи 2022 года. Он имел всего пять оплаченных отчетов по баг-баунти в 2023 году, несмотря на то, что один из отчетов принес ему $20,000. Это был сложный период, и он сам был удивлен этим результатом.
Какие изменения автор внес в свой подход к баг-баунти в 2024 году?
-Автор решил сосредоточиться на одном из направлений хакерства, а именно на аутентификации. Это принесло ему 14 отчетов о взломе аккаунтов, которые составили более $55,000. Он уделил много времени изучению аутентификационных потоков и их реализации.
Какие баги приносили автору наибольшую прибыль в 2024 году?
-Наибольшую прибыль автор получил от отчетов о взломах аккаунтов (ATO), которые составили $55,000 из 14 отчетов. Клиентские уязвимости RCE также принесли значительную сумму — более $17,000 за три отчета.
Какие классы багов автор не планирует развивать в 2025 году?
-Автор не планирует сосредотачиваться на баг-репортах о привилегированном эскалации, так как ему не очень нравится искать такие баги. Он решил, что будет использовать хак-ботов для автоматизации поиска этих уязвимостей.
Как автор оценивает важность личного интереса в баг-баунти?
-Автор подчеркивает, что личный интерес в выбранных направлениях критически важен для долгосрочного успеха в баг-баунти. Когда работаешь на себя, мотивация играет важную роль, иначе просто не будет сил и времени для поиска багов.
Какие классы багов автор планирует развивать в 2025 году?
-В 2025 году автор планирует сосредоточиться на баг-репортах, связанных с инфраструктурой, таких как SSRF, Traversals и Request Smuggling, так как ему нравится искать эти уязвимости и он уверен, что может автоматизировать их проверку.
Как автор оценивает успех команды Польши на HackerOne World Cup 2024?
-Автор гордится успехами команды Польши на HackerOne World Cup 2024, особенно тем, что они продвинулись дальше этапов турнира, выиграли раунд Elite 16 и нашли много интересных багов.
Что для автора было самым запоминающимся событием на жизни-хакерских мероприятиях в 2024 году?
-Одним из самых запоминающихся моментов было участие в шоу 'Show and Tell' на жизни-хакерском мероприятии в Эдинбурге, где автор представил свои баги на сцене перед выдающимися хакерами.
Как автор оценивает свою техническую подготовленность по сравнению с другими участниками хакерского сообщества?
-Автор считает, что на высоком уровне технические знания имеют все участники, однако именно умение найти приложения и провести хороший рекогносцировочный процесс является ключевым. Также важно попасть в правильное место в нужное время.
Какую цель ставит автор для своего дохода от баг-баунти в 2024 году?
-Автор поставил цель достичь $100,000 в доходах от баг-баунти, и хотя на момент записи видео эта сумма еще не была достигнута, он уверен, что при полном времени на это он легко бы преодолел этот порог.