Вы думаете только на BugBounty кидают?
WARNING:
Данный пост написан чисто для выпуска пара, поэтому если вы пришли за полезными материалами, то подождите пару дней, скоро выложу интересный пост про мой опыт тестирования Legacy ужаса, а этот можете тогда скипнуть=)
И так, я думаю, что многие слышали про ситуации, когда на ББ выплатили сильно меньше/ничего за багу, хотя по хорошему должны были нормально заплатить. После чего у бедного багхантера горит пукан на золотом стуле, купленном после выплат на бб, и он ноет о несправедливости жизни.
У ресёрчеров та же история, только при этом денег почти всегда нет за находку*. Если ты хочешь потыкать какой-нибудь open-source или библиотеку, чтобы налутать себе CVEшек для резюме, то будь готов к таким ситуациям:
1) Вендор просто не поймёт о чём ты, в чём влияние твоей баги, потому что для него баг - это когда съехала кнопочка в UI. Поэтому он может просто отклонить твою находку. Из-за этого приходится долго и муторно разъяснять ему смысл той же SSRF или XSS(Я благо таким не занимался, а вот мой коллега настрадался).
2) Вендор тихо исправит багу без CVE, и не упомянит тебя(Тоже был такой кейс у коллег).
3) Вендор тихо исправит багу и не упомянит тебя, но будет CVE на неё. Не упомянуть он может как втихую, так и по причине того, что он поставил определённые условия, которые не очень хочется делать.
4) Вендор просто ушёл в игнор и не читает твой отчёт. Либо он ответил, что прочитает и забил болт.
Я пока столкнулся с 3 и 4 пунктом, и если про кейсы с 4 пунктом пока не могу говорить, может ещё всё разрулится, то вот о 3 хочется рассказать.
Почти год назад я смотрел https://www.dnnsoftware.com/, в котором нашёл пару XSSок(на тот момент это был мой первый ресёрч, поэтому я был крайне рад даже таким находкам). Мои коллеги тоже нашли кучу баг, и мы им заслали довольно жирный отчёт. Но по определённым причинам DNN просто отказался на нас ссылаться, поставив неудобные условия, вместо того чтобы просто указать имя и фамилию исследователя в соответствующем коммите.
И вот сегодня вечером я наткнулся на пачку CVEшек 2025 по DNN, среди которых +- удалось распознать мою Stored XSS в модуле prompt, а также опознать уязы моих коллег(опознать удалось по описанию, которое я сравнивал с нашим отчётом + все они относятся к одной и той же версии продукта).
Предположительно моя Stored XSS:
https://dbugs.ptsecurity.com/vulnerability/PT-2025-39191?search=DotNetNuke
Естественно, это один из неприятных примеров вендоров, на чьи продукты теперь не хочется тратить время. Причём ладно бы такое произошло с продуктом у которого вообще никогда CVE не было, но тут довольно известный open-source, чьи уязвимости, как я помню, воспроизводятся в том же OSWE. И это мы не говорим про какие-нибудь библиотеки, которые разрабатывает один бедняга, не секущий за ваши уязвимости, и которому лень прочитать отчёт и поправить багу.
Конечно, можно заняться исследованием очень известного продута/языка/библиотеки, в котором всё 100% пройдёт отлично, как тот же XWiki, keycloak, jira и тд. Иногда вы даже можете получить за эту выплату, если найдёте багу в том же Chrome(про это и была звёздочка вначале).
Однако есть причины и не заниматься этим:
1) Самое простое - это банально сложно, так как до вас его перековыряли уже кучу человек, поэтому найти там хоть что-то это геморой страшный. Да и не самый лучший вариант, если это первое исследование или вам хочется нафармить CVEшек для резюме как можно быстрее.
2) Иногда какой-то задрипанный продукт может вам быть намного интереснее, чем знаменитый Bitrix, банально потому что написан на вашем любимом языке. Да и всегда приятно быть первооткрывателем для вендора, на чей продукт никогда не было CVEшек.
Это всё не значит, что не стоит заниматься исследованиями вообще, я наоборот желаю каждому попробовать, так как это интересный опыт, как и ББ(бывают моменты как и дикой радости, так и дикого горения очка). Но просто стоит быть готовым к тому, что вместо СВОЕЙ CVE ты получишь либо ничего, либо CVE, которую нельзя назвать своей, потому что хрен ты докажешь, что именно ты её зарепортил=)
