# Платформы

## International Platforms

Bugcrowd\
<https://www.bugcrowd.com/>

Hackerone\
<https://www.hackerone.com/>

Synack\
<https://www.synack.com/>

Japan Bug bounty Program\
<https://bugbounty.jp/>

Cobalt\
<https://cobalt.io/>

Zerocopter\
<https://zerocopter.com/>

Hackenproof\
<https://hackenproof.com/>

BountyFactory\
<https://bountyfactory.io>

Bug Bounty Programs List\
<https://www.bugcrowd.com/bug-bounty-list/>

AntiHack\
<https://www.antihack.me/>

Найти компании с открытыми bb программами\
<https://github.com/sushiwushi/bug-bounty-dorks/>

[huntr](https://huntr.dev/) — площадка, которая выступает посредником между open source github repos и багхантерами. На сайте есть калькулятор: вбиваем адрес репозитория, получаем информацию, готовы ли они платить за баги через huntr. Если готовы, мы репортим. Если бага и фикс приняты, нам придут деньги. Так же, есть возможность CVE получить.

[Immunefi](https://immunefi.com/) — Blockchain BugBounty Platform (платят в крипте)

[diclose.io](https://disclose.io/) — Платформа, которая помогает дисклозить баги. Это некоммерческая организация, ее запустил сео багкрауда. &#x20;

[hats.finance](https://hats.finance/) — Decentrilized smart bug bounty marketplace — у них есть такая система: кто заинтересован в исследовании какого-то протокола или контракта спонсирует его, исследователи находят баги в проектах.

[code4rena](https://code4rena.com/) — между bb и пентестами. Открывается программа (смарт-контракты?), в течение какого-то короткого времени (сессия) ресерчеры ищут баги. Программа закрывается, баги ранжируются, объединяются дубликаты. В чем особенность: сумма за дубликаты делится поровну.

HackenProof — Crypto Bug Bounty Platform. <https://t.me/hackenproof>. Не знаю на сколько это официально и раскручено, и стоит ли уделять этой платформе время, или она только в начале, или это скам и тп..

### Self Hosted

List: <https://chaos.projectdiscovery.io/>\
Public BB (это тот же список, но github?): <https://github.com/projectdiscovery/public-bugbounty-programs>

На [disclose.io](https://disclose.io) можно поискать self hosted компании.

Google: <https://bughunters.google.com/>

## Как искать платформы и bug bounty программы

Google: `"Bug Bounty" site:ru`.

## Ru

[bugbounty.ru](https://bugbounty.ru) — платформа от ООО Киберполигон, сейчас тут доступны Тинькофф, СберМаркет и Консоль.ПРО

<https://standoff365.com/> — платформа от Positive Technologies. Сейчас сюда залетели сервисы VK, Рамблер и PT

<https://app.bugbounty.bi.zone/companies> — платформа от BI.ZONE. Пока здесь стартуют приватки. Вроде как Авито хотел сюда залететь, ну и ожидаемо СберТех (но это не точно).

## Казахстан

Tumar One — CRM платформа, через которую авторизуешься на `bugbounty.LTD` и далее багбаунтишь через единую платформу (ближняя Азия): <https://tumar.one>\
BugBounty KZ – платформа в кз: <https://bugbounty.kz/ru>

### Self Hosted

WildBerries: <https://www.wildberries.ru/services/bug-bounty>

Yandex: <https://yandex.ru/bugbounty/>

СКБ Контур: <https://kontur.ru/bugbounty>

Мамба: <https://corp.mamba.ru/ru/developer/security>

JIVO: <https://www.jivo.ru/bugbounty/>

Github Security Lab (GHSL) Bugbounty: находим уязвимость в open source, пишем codeql правило, которое еще не покрывается текущими правилами — получаем bounty <https://securitylab.github.com/bounties/>\
Или, если с помощью существующих кверей нашли уязвимости в open source проектах, то можем их сдать через GHSL и получить баунти от них

## Другие способы подзаработать

Можно поискать проектную работу на Upwork: <https://www.upwork.com/>