История изменений
Исправление winddos, (текущая версия) :
ну если у тебя есть конкретная цель взлома, то бага может верой и правдой служить тебе вечно. А если конкретной цели нет, что делать с такой багой?
Либо продать за дешего (2-3к$) либо опубликовать где нибудь таким образом чтобы все узнали кто именно её нашел.
Т.е можешь использовать её для формирования портфолио.
Некоторые проекты, например Chromium публикуют и поощряют людей которые находят дырки, при этом они не требуют раскрытия privacy если не брать деньги.
Несколько публикаций серьёзных багов и ты сможешь отдавать баги не только гуглу. :)
но где-то их ведь продают? Например мне вот бага сейчас совсем не нужна, что мне с ней делать, если я её случайно найду?
Продают обычно знакомые знакомым, когда есть поручители которых знает покупатель.
Даже хорошо известному человеку сложно заключать сделки на 10к$+, особенно когда есть риск даже не специально кинуть человека.
Без поручителей никто не работает.
Т.е вот ты продал багу, а завтра её нашли в паблике.
И никто никогда не узнает, нашли ли её случайно, продал ли ты её повторно или твой покупатель перепродал и решил тебя очернить.
Поэтому нужно хорошее портфолио и репутация, но людей которые им обладают единицы, остальные вынуждены отдавать свои находки за копейки или засаливать.
У меня вот есть два бага в серверном ПО (не надо думать, что я про sshd и апач, все куда прозаичнее и менее распостранено) которые уже годы живут себе и никто их не нашел. Продавать некому, юзать незачем, а отдавать за так жалко, т.к я недели потратил на их поиск.
Исправление winddos, :
ну если у тебя есть конкретная цель взлома, то бага может верой и правдой служить тебе вечно. А если конкретной цели нет, что делать с такой багой?
Либо продать за дешего (2-3к$) либо опубликовать где нибудь таким образом чтобы все узнали кто именно её нашел.
Т.е можешь использовать её для формирования портфолио.
Некоторые проекты, например Chromium публикуют и поощряют людей которые находят дырки, при этом они не требуют раскрытия privacy если не брать деньги.
Несколько публикаций серьёзных багов и ты сможешь отдавать баги не только гуглу. :)
но где-то их ведь продают? Например мне вот бага сейчас совсем не нужна, что мне с ней делать, если я её случайно найду?
Продают обычно знакомые знакомым, когда есть поручители которых знает покупатель.
Даже хорошо известному человеку сложно заключать сделки на 10к$+, особенно когда есть риск даже не специально кинуть человека.
Без поручителей никто не работает.
Т.е вот ты продал багу, а завтра её нашли в паблике.
И никто никогда не узнает, нашли ли её случайно, продал ли ты её повторно или твой покупатель перепродал и решил тебя очернить.
Поэтому нужно хорошее портфолио и репутация, но людей которые им обладают единицы, остальные вынуждены отдавать свои находки за копейки или засаливать.
У меня вот есть два бага в серверном ПО (не надо думать, что я про sshd и апаче, все куда прозаичнее) которые уже годы живут себе и никто их не нашел. Продавать некому, юзать незачем, а отдавать за так жалко, т.к я недели потратил на их поиск.
Исходная версия winddos, :
ну если у тебя есть конкретная цель взлома, то бага может верой и правдой служить тебе вечно. А если конкретной цели нет, что делать с такой багой?
Либо продать за дешего (2-3к$) либо опубликовать где нибудь таким образом чтобы все узнали кто именно её нашел.
Т.е можешь использовать её для формирования портфолио.
Некоторые проекты, например Chromium публикуют и поощряют людей которые находят дырки, при этом они не требуют раскрытия privacy если не брать деньги.
Несколько публикаций серьёзных багов и ты сможешь отдавать баги не только гуглу. :)
но где-то их ведь продают? Например мне вот бага сейчас совсем не нужна, что мне с ней делать, если я её случайно найду?
Продают обычно знакомые знакомым, когда есть поручители которых знает покупатель.
Даже хорошо известному человеку сложно заключать сделки на 10к$+, особенно когда есть риск даже не специально кинуть человека.
Без поручителей никто не работает.
Т.е вот ты продал багу, а завтра её нашли в паблике.
И никто никогда не узнает, нашли ли её случайно, продал ли ты её повторно или твой покупатель перепродал и решил тебя очернить.
Поэтому нужно хорошее портфолио и репутация, но людей которые им обладают единицы, остальные вынуждены отдавать свои находки за копейки.