Платформы

International Platforms

Bugcrowd https://www.bugcrowd.com/

Hackerone https://www.hackerone.com/

Synack https://www.synack.com/

Japan Bug bounty Program https://bugbounty.jp/

Cobalt https://cobalt.io/

Zerocopter https://zerocopter.com/

Hackenproof https://hackenproof.com/

BountyFactory https://bountyfactory.io

Bug Bounty Programs List https://www.bugcrowd.com/bug-bounty-list/

AntiHack https://www.antihack.me/

Найти компании с открытыми bb программами https://github.com/sushiwushi/bug-bounty-dorks/

huntr — площадка, которая выступает посредником между open source github repos и багхантерами. На сайте есть калькулятор: вбиваем адрес репозитория, получаем информацию, готовы ли они платить за баги через huntr. Если готовы, мы репортим. Если бага и фикс приняты, нам придут деньги. Так же, есть возможность CVE получить.

Immunefi — Blockchain BugBounty Platform (платят в крипте)

diclose.io — Платформа, которая помогает дисклозить баги. Это некоммерческая организация, ее запустил сео багкрауда.

hats.finance — Decentrilized smart bug bounty marketplace — у них есть такая система: кто заинтересован в исследовании какого-то протокола или контракта спонсирует его, исследователи находят баги в проектах.

code4rena — между bb и пентестами. Открывается программа (смарт-контракты?), в течение какого-то короткого времени (сессия) ресерчеры ищут баги. Программа закрывается, баги ранжируются, объединяются дубликаты. В чем особенность: сумма за дубликаты делится поровну.

HackenProof — Crypto Bug Bounty Platform. https://t.me/hackenproof. Не знаю на сколько это официально и раскручено, и стоит ли уделять этой платформе время, или она только в начале, или это скам и тп..

Self Hosted

List: https://chaos.projectdiscovery.io/ Public BB (это тот же список, но github?): https://github.com/projectdiscovery/public-bugbounty-programs

На disclose.io можно поискать self hosted компании.

Google: https://bughunters.google.com/

Как искать платформы и bug bounty программы

Google: "Bug Bounty" site:ru.

Ru

bugbounty.ru — платформа от ООО Киберполигон, сейчас тут доступны Тинькофф, СберМаркет и Консоль.ПРО

https://standoff365.com/ — платформа от Positive Technologies. Сейчас сюда залетели сервисы VK, Рамблер и PT

https://app.bugbounty.bi.zone/companies — платформа от BI.ZONE. Пока здесь стартуют приватки. Вроде как Авито хотел сюда залететь, ну и ожидаемо СберТех (но это не точно).

Казахстан

Tumar One — CRM платформа, через которую авторизуешься на bugbounty.LTD и далее багбаунтишь через единую платформу (ближняя Азия): https://tumar.one BugBounty KZ – платформа в кз: https://bugbounty.kz/ru

Self Hosted

WildBerries: https://www.wildberries.ru/services/bug-bounty

Yandex: https://yandex.ru/bugbounty/

СКБ Контур: https://kontur.ru/bugbounty

Мамба: https://corp.mamba.ru/ru/developer/security

JIVO: https://www.jivo.ru/bugbounty/

Github Security Lab (GHSL) Bugbounty: находим уязвимость в open source, пишем codeql правило, которое еще не покрывается текущими правилами — получаем bounty https://securitylab.github.com/bounties/ Или, если с помощью существующих кверей нашли уязвимости в open source проектах, то можем их сдать через GHSL и получить баунти от них

Другие способы подзаработать

Можно поискать проектную работу на Upwork: https://www.upwork.com/