🎯 Дневник Хакера | Вторая Принятая + Честный Разговор
Прошёл месяц с момента первого отчёта. Сегодня - вторая принятая уязвимость на Standoff365! 🔥
Но есть нюанс... 😅
Что нашёл:
Публичное раскрытие полной схемы API в госпрограмме (NDA 🤫)
995 endpoints с бизнес-логикой
Internal команды в открытом доступе
Полная карта для дальнейших атак
Моя оценка: High severity
Что поставили: Medium 💔
Выплата: 30-50k ₽ (ожидал 50-200k)
😔 Первые мысли
Обидно? Да. Разочарование? Тоже.
Но потом понял несколько вещей:
1. Каждая программа — свои критерии
Вендор смотрит на прямой impact на данные, а не на масштаб
2. Exploitation chain важнее
Мало показать архитектуру - надо демонстрировать IDOR/SQLi на её основе
3. Это нормально в bug bounty
Даже топы сталкиваются с понижением severity
📊 Результаты месяца
🥇 1 место в рейтинге программы
💰 1150 баллов (1000 за декабрь)
📈 279 место на Standoff365
✅ 2 accepted из 16 отчётов
💵 30-50k ₽ к выплате
ROI: 3,750-6,250 ₽/час (за ~8 часов работы)
Меньше ожидал, но для первого месяца - отлично! 💪
🎓 Главные уроки
✅ Фокусируйся на прямом impact (IDOR, Auth bypass, SQLi с demo)
✅ Изучай критерии конкретной программы
✅ Exploitation chain > simple finding
✅ Опыт дороже денег
💪 Что дальше?
Пауза → изучение других программ → охота за Critical (200-500k ₽)! 💣
Для начинающих: Не бойтесь rejected'ов и понижений severity. Bug bounty - марафон, не спринт! 🏃♂️
Да, severity понизили. Да, обидно.
Но я всё равно счастлив! 🎉
#bugbounty #standoff365 #дневникхакера #честныйопыт #mediumseverity #APIsecurity
Прошёл месяц с момента первого отчёта. Сегодня - вторая принятая уязвимость на Standoff365! 🔥
Но есть нюанс... 😅
Что нашёл:
Публичное раскрытие полной схемы API в госпрограмме (NDA 🤫)
995 endpoints с бизнес-логикой
Internal команды в открытом доступе
Полная карта для дальнейших атак
Моя оценка: High severity
Что поставили: Medium 💔
Выплата: 30-50k ₽ (ожидал 50-200k)
😔 Первые мысли
Обидно? Да. Разочарование? Тоже.
Но потом понял несколько вещей:
1. Каждая программа — свои критерии
Вендор смотрит на прямой impact на данные, а не на масштаб
2. Exploitation chain важнее
Мало показать архитектуру - надо демонстрировать IDOR/SQLi на её основе
3. Это нормально в bug bounty
Даже топы сталкиваются с понижением severity
📊 Результаты месяца
🥇 1 место в рейтинге программы
💰 1150 баллов (1000 за декабрь)
📈 279 место на Standoff365
✅ 2 accepted из 16 отчётов
💵 30-50k ₽ к выплате
ROI: 3,750-6,250 ₽/час (за ~8 часов работы)
Меньше ожидал, но для первого месяца - отлично! 💪
🎓 Главные уроки
✅ Фокусируйся на прямом impact (IDOR, Auth bypass, SQLi с demo)
✅ Изучай критерии конкретной программы
✅ Exploitation chain > simple finding
✅ Опыт дороже денег
💪 Что дальше?
Пауза → изучение других программ → охота за Critical (200-500k ₽)! 💣
Для начинающих: Не бойтесь rejected'ов и понижений severity. Bug bounty - марафон, не спринт! 🏃♂️
Да, severity понизили. Да, обидно.
Но я всё равно счастлив! 🎉
#bugbounty #standoff365 #дневникхакера #честныйопыт #mediumseverity #APIsecurity