#fulltime #организация
Согласно отчету H1 за 2020 год:
⁃ 37% ресерчеров тратят на баг-хантинг от 1 до 9 часов в неделю;
⁃ 25% – от 10 до 19 часов;
⁃ 14% – от 20 до 29 часов;
⁃ 8% – 30 до 39 часов;
⁃ и 16% – больше 40 часов.
Когда я еще работал в офисе – я занимался этим бессистемно, по несколько часов в неделю, когда было время и желание. До работы, или после нее. Больше ради интереса, чем надеясь что-то заработать.
А вот когда перешел на фуллтайм – встал вопрос организации рабочего времени. И я перепробовал кучу разных вариантов.
В первый месяц я работал почти без остановки, каждый день по 8-10 часов с редкими выходными, так как было тупо страшно остаться без денег. Проблема такого подхода (лично для меня) – в выгорании. Я сильно люблю и программирование, и поиск уязвимостей, могу засиживаться очень подолгу, когда есть интересная задача.
Но после нескольких дней такой работы иногда желание заниматься этим дальше может пропасть на 2-3 недели. У меня такое было еще в офисе, когда сдавали проект и приходилось иногда даже не спать ночами. Потом, бывало, подташнивало от работы весь следующей месяц 🙂
Я считаю багхантинг не совсем технической профессией, а скорее чем-то посередине между техническим и творческим. По крайней мере мой подход именно такой – я часто ищу и нахожу нестандартные баги. Именно поэтому мне нужно вдохновение, свежая голова и отдых. Часто бывало, что я работал много и безрезультатно, а затем, через неделю, со свежими силами и уже с желанием, прогонял те же части приложения и находил то, что не заметил в первый раз.
Поэтому я решил, что мне нужно искусственно ограничивать себя графиком. Пробовал разные варианты: работать 5 дней по 8 часов (чтобы как в офисе), каждый день по 3 часа без выходных, какие-то еще. Всегда это приводило либо к потере желания, либо к тому, что я не мог стабильно выдерживать этот график неделями и месяцами.
В результате проб и ошибок пришел к графику 3 дня в неделю по 5 часов. Он достаточно свободный, чтобы успевать перезагружаться, но и достаточно плотный, чтобы я каждую неделю получал какой-то весомый результат.
Правда я считаю только время, в которое я ищу баги. Написание отчетов, какие-то отвлеченные чтения статей – это все отдельно. Так что суммарно все равно иногда выходит немало, если нужно писать много сложных отчетов, например.
В этом году я решил добавить еще один рабочий день в свою неделю, но, зная, что к хорошему это не приведет, я не стал добавлять еще один день поиска багов. Вместо этого мы с другом стали писать софт по автоматизации поиска, и как раз под него я выделил этот день. Смена деятельности на программирование очень круто разбавляет неделю и стало как-то даже проще.
Ну и теперь я еще веду этот канал в свободное время, на это уходит еще 2-3 часа в неделю примерно.
Если кто-то еще хантит фуллтайм – расскажите, какой график у вас, будет интересно)
Мой график работы
#fulltime #организация
Согласно отчету H1 за 2020 год:
⁃ 37% ресерчеров тратят на баг-хантинг от 1 до 9 часов в неделю;
⁃ 25% – от 10 до 19 часов;
⁃ 14% – от 20 до 29 часов;
⁃ 8% – 30 до 39 часов;
⁃ и 16% – больше 40 часов.
Когда я еще работал в офисе – я занимался этим бессистемно, по несколько часов в неделю, когда было время и желание. До работы, или после нее. Больше ради интереса, чем надеясь что-то заработать.
А вот когда перешел на фуллтайм – встал вопрос организации рабочего времени. И я перепробовал кучу разных вариантов.
В первый месяц я работал почти без остановки, каждый день по 8-10 часов с редкими выходными, так как было тупо страшно остаться без денег. Проблема такого подхода (лично для меня) – в выгорании. Я сильно люблю и программирование, и поиск уязвимостей, могу засиживаться очень подолгу, когда есть интересная задача.
Но после нескольких дней такой работы иногда желание заниматься этим дальше может пропасть на 2-3 недели. У меня такое было еще в офисе, когда сдавали проект и приходилось иногда даже не спать ночами. Потом, бывало, подташнивало от работы весь следующей месяц 🙂
Я считаю багхантинг не совсем технической профессией, а скорее чем-то посередине между техническим и творческим. По крайней мере мой подход именно такой – я часто ищу и нахожу нестандартные баги. Именно поэтому мне нужно вдохновение, свежая голова и отдых. Часто бывало, что я работал много и безрезультатно, а затем, через неделю, со свежими силами и уже с желанием, прогонял те же части приложения и находил то, что не заметил в первый раз.
Поэтому я решил, что мне нужно искусственно ограничивать себя графиком. Пробовал разные варианты: работать 5 дней по 8 часов (чтобы как в офисе), каждый день по 3 часа без выходных, какие-то еще. Всегда это приводило либо к потере желания, либо к тому, что я не мог стабильно выдерживать этот график неделями и месяцами.
В результате проб и ошибок пришел к графику 3 дня в неделю по 5 часов. Он достаточно свободный, чтобы успевать перезагружаться, но и достаточно плотный, чтобы я каждую неделю получал какой-то весомый результат.
Правда я считаю только время, в которое я ищу баги. Написание отчетов, какие-то отвлеченные чтения статей – это все отдельно. Так что суммарно все равно иногда выходит немало, если нужно писать много сложных отчетов, например.
В этом году я решил добавить еще один рабочий день в свою неделю, но, зная, что к хорошему это не приведет, я не стал добавлять еще один день поиска багов. Вместо этого мы с другом стали писать софт по автоматизации поиска, и как раз под него я выделил этот день. Смена деятельности на программирование очень круто разбавляет неделю и стало как-то даже проще.
Ну и теперь я еще веду этот канал в свободное время, на это уходит еще 2-3 часа в неделю примерно.
Если кто-то еще хантит фуллтайм – расскажите, какой график у вас, будет интересно)
👍18👏2🔥1
Web3 bounty plz
Дополню. Валютный счёт открывается безо всяких проблем, никаких дополнительных документов для этого не нужно. Дальше просто все поступающие переводы надо обосновывать. По поводу комиссии. Для России на H1 доступен единственный способ вывода через Swift –…
Если у кого-то ненулевой баланс – рекомендую пока выплаты переключить на ежедневные, до прояснения ситуации.
👍3
Сегодня мне должна улететь копеечка с H1 на Тинькофф. Напишу, все ли пройдет. В случае чего, будем думать над альтернативами.
👍6🤯2
Ну что ж, пока все печально. Выплата не ушла, осталась висеть на балансе. Причину не знаю, написал в поддержку – пока без ответа.
🤯5🤬5
Нацисты vs нормальные люди.
Краткий пересказ:
Письмо 1: так как вы из России, мы больше не готовы предоставлять вам наши услуги. Вступает в действие немедленно, вы не сможете залогиниться. Правда о выводе денег с барского плеча можно решить по почте.
Письмо 2: мы будем пытаться вам платить, если не пройдёт – мы не виноваты. В таком случае будем держать средства на счёту, пока не сможем выплатить.
Краткий пересказ:
Письмо 1: так как вы из России, мы больше не готовы предоставлять вам наши услуги. Вступает в действие немедленно, вы не сможете залогиниться. Правда о выводе денег с барского плеча можно решить по почте.
Письмо 2: мы будем пытаться вам платить, если не пройдёт – мы не виноваты. В таком случае будем держать средства на счёту, пока не сможем выплатить.
🤯14👍5
Web3 bounty plz
Нацисты vs нормальные люди. Краткий пересказ: Письмо 1: так как вы из России, мы больше не готовы предоставлять вам наши услуги. Вступает в действие немедленно, вы не сможете залогиниться. Правда о выводе денег с барского плеча можно решить по почте. Письмо…
Добавил пересказ на русском в 2 словах
👍1
⚡️По выплатам
Получил ответ от поддержки H1. ПОКА все выглядит так, что они не собираются приостанавливать платежи по банкам, которые вне санкционного списка.
Сказали, что типа был конец месяца и начало месяца, и поэтому платёж не ушёл. Посмотрим. Раньше не припомню таких правил.
Добавили в FAQ по выплатам отдельно про санкционные банки. Что типа убедитесь, что банк не под санкциями.
Получил ответ от поддержки H1. ПОКА все выглядит так, что они не собираются приостанавливать платежи по банкам, которые вне санкционного списка.
Сказали, что типа был конец месяца и начало месяца, и поэтому платёж не ушёл. Посмотрим. Раньше не припомню таких правил.
Добавили в FAQ по выплатам отдельно про санкционные банки. Что типа убедитесь, что банк не под санкциями.
🔥3
Пока что предлагаю прорабатывать список платформ или отдельных программ, с которыми можно будет работать в случае конца H1 для нас.
Есть Яндекс, само собой. У них вообще своя собственная ББ, без партнёрства с какими-то платформами. Сейчас вот получил инсайд от человека оттуда, что они не собираются прекращать работу.
Есть Mail.Ru. С ними непонятно, какой сейчас канал связи. Написал им просто в техподдержку. Если будет ответ – сообщу. Если у кого-то есть контакты в мейле – будет здорово, если вы сможете их подергать, чтобы узнать.
Есть ещё несколько приватных программ российских, они также на H1. Буду пытаться с ними связываться и узнавать, как они будут работать в новых реалиях.
Также нужно узнавать по Китаю. Тоже постараюсь.
Буду держать всех в курсе. Присоединяйтесь, кто хочет, к моим изысканиям)
Есть Яндекс, само собой. У них вообще своя собственная ББ, без партнёрства с какими-то платформами. Сейчас вот получил инсайд от человека оттуда, что они не собираются прекращать работу.
Есть Mail.Ru. С ними непонятно, какой сейчас канал связи. Написал им просто в техподдержку. Если будет ответ – сообщу. Если у кого-то есть контакты в мейле – будет здорово, если вы сможете их подергать, чтобы узнать.
Есть ещё несколько приватных программ российских, они также на H1. Буду пытаться с ними связываться и узнавать, как они будут работать в новых реалиях.
Также нужно узнавать по Китаю. Тоже постараюсь.
Буду держать всех в курсе. Присоединяйтесь, кто хочет, к моим изысканиям)
👍17🤯1
Кто-нибудь знает, что это?
bugbounty.ru
Пытаюсь с ними связаться, нифига не понятно. Также такие же сайты есть .by и .kz. Сейчас неплохо бы их попытаться расшевелить.
bugbounty.ru
Пытаюсь с ними связаться, нифига не понятно. Также такие же сайты есть .by и .kz. Сейчас неплохо бы их попытаться расшевелить.
Web3 bounty plz
Дошла. Пока платят)
Но больше не будут.
Как я понял, будут закрыты все программы из "РФ, Беларуси и оккупированных регионов Украины".
Так как они тут "во имя добра и чтобы сделать веб безопаснее", они не будут прекращать принимать отчеты от исследователей из санкционных регионов.
Правда платить за них не будут, а будут перечислять все выплаты на благотворительность))))
Перевод вольный, если есть что добавить – жду в комментах.
Источник: https://twitter.com/Hacker0x01/status/1499186877978583040
Как я понял, будут закрыты все программы из "РФ, Беларуси и оккупированных регионов Украины".
Так как они тут "во имя добра и чтобы сделать веб безопаснее", они не будут прекращать принимать отчеты от исследователей из санкционных регионов.
Правда платить за них не будут, а будут перечислять все выплаты на благотворительность))))
Перевод вольный, если есть что добавить – жду в комментах.
Источник: https://twitter.com/Hacker0x01/status/1499186877978583040
👍7🤯4
Web3 bounty plz
Но больше не будут. Как я понял, будут закрыты все программы из "РФ, Беларуси и оккупированных регионов Украины". Так как они тут "во имя добра и чтобы сделать веб безопаснее", они не будут прекращать принимать отчеты от исследователей из санкционных регионов.…
Есть инсайд, что не все добросовестные западные компании этим довольны.
Так что есть небольшой шанс как минимум получить выплаты за уже отправленные, но пока неоплаченные репорты.
Если будет инфа – обязательно напишу.
Так что есть небольшой шанс как минимум получить выплаты за уже отправленные, но пока неоплаченные репорты.
Если будет инфа – обязательно напишу.
Зачем мне этот канал
У меня всегда была какая-то тяга к тому, чтобы делится информацией. Некоторые коллеги и близкие люди считают, что у меня это неплохо получается. Что я могу простыми словами рассказывать сложные вещи и находить такое объяснение, которое поймет каждый.
В разное время у меня были мысли о преподавании в школе, создании своих курсов для детей или взрослых, даже обучении людей отдельно из глубинки страны. Потому что у меня есть такая позиция: если найти дело, которое тебе интересно - ты будешь одновременно счастливым и обязательно добьешься определенного материального успеха. А мне кажется, что на данный момент я такое дело для себя нашел. И мне хочется рассказывать о нем другим людям, рассказывать интересно, чтобы они также смогли его полюбить и при этом неплохо зарабатывать. Это первая причина.
Я считаю, что наш век - это время открытой информации. Всему, что я знаю и умею, я обязан открытым отчетам на HackerOne, блогам исследователей из разных стран, видео на YouTube и прочим публичным источникам. Так как у меня есть свой опыт, свои наработки и идеи - хочется также поделиться ими с другими людьми. Плюс, к сожалению, наша страна объективно отстает по количеству и качеству подобного контента. И я подумал, что я могу хотя бы немножко это исправить. Вот и вторая причина.
Если честно, на несколько дней я просто выпал из работы, хотя я не могу себе это позволить, так как есть куча обязательств перед моей семьей. А вот этот пост написать все-таки захотелось. И как-то это настраивает на рабочий лад, не смотря ни на что. Наверное это третья причина - иметь возможность просто иногда выговориться.
Не смотря на то, откуда вы, и как вы сейчас относитесь к России, если вам интересны мои посты, если они мотивируют вас, учат чему-то новому - я этому очень рад.
Сейчас пока проблемы со свободным временем, но буду стараться писать почаще.
Если хотите поддержать мой канал, можете стать его спонсором на
https://boosty.to/skavans (минимальная стоимость подписки - 99р в месяц).
👍19👏2🔥1
По поводу того, где хантить сейчас.
Яндекс – это прям наше все на данный момент) Я его тут было в черный список заносил, но они в результате ответили и есть надежда, что будут пока работать. У них огромный скоуп и можно там засесть надолго. Да и платят достойно для РУ проги.
Bugcrowd – тут пока непонятно. Я им писал. Насколько понял их позицию – они не собираются просто блочить всех, как H1. Сказали, могут быть проблемы с выплатами в Россию, Беларусь и Украину. Из-за санкций. Попробую туда что-нибудь зарепортить в ближайшее время – отпишусь.
Google, FB – инфы нет, но есть надежда, что они не будут заниматься таким самоуправством и будут строго следовать санкциям. Но сказать сложно. Если есть инфа – делитесь плиз, буду шарить на канале.
Если кто не заметил, все русские проги на H1 на сегодня заблокированы. Они сейчас находятся в поиске альтернативных решений. Так что наверняка будут анонсировать запуск на других площадках или в виде self-hosted решений. Но надо ждать.
Есть еще вот такой список self-hosted программ: https://github.com/projectdiscovery/public-bugbounty-programs/blob/master/chaos-bugbounty-list.json
Наверняка тут тоже можно с кем-то поработать, но это требует изучения.
Если есть еще идеи – делитесь, также буду рад пошарить.
Яндекс – это прям наше все на данный момент) Я его тут было в черный список заносил, но они в результате ответили и есть надежда, что будут пока работать. У них огромный скоуп и можно там засесть надолго. Да и платят достойно для РУ проги.
Bugcrowd – тут пока непонятно. Я им писал. Насколько понял их позицию – они не собираются просто блочить всех, как H1. Сказали, могут быть проблемы с выплатами в Россию, Беларусь и Украину. Из-за санкций. Попробую туда что-нибудь зарепортить в ближайшее время – отпишусь.
Google, FB – инфы нет, но есть надежда, что они не будут заниматься таким самоуправством и будут строго следовать санкциям. Но сказать сложно. Если есть инфа – делитесь плиз, буду шарить на канале.
Если кто не заметил, все русские проги на H1 на сегодня заблокированы. Они сейчас находятся в поиске альтернативных решений. Так что наверняка будут анонсировать запуск на других площадках или в виде self-hosted решений. Но надо ждать.
Есть еще вот такой список self-hosted программ: https://github.com/projectdiscovery/public-bugbounty-programs/blob/master/chaos-bugbounty-list.json
Наверняка тут тоже можно с кем-то поработать, но это требует изучения.
Если есть еще идеи – делитесь, также буду рад пошарить.
👍8
Появился Sanctions FAQ на H1:
https://www.hackerone.com/sanctions-faq
Тезисно:
- проблемы с выплатами украинским исследователям ошибочны, будут предприниматься попытки все починить;
- выплаты российским и белорусским исследователям временно на паузе "в строгом соответствии с законодательством";
- выплаты будут перенаправлены на благотворительность только в случае прямого указания исследователя (приносим извинения за неточность в прошлых заявлениях).
В принципе ничего нового, но это уже официальная позиция, а не просто твит.
На данный момент выплаты в российские банки отклоняются со статусом
https://www.hackerone.com/sanctions-faq
Тезисно:
- проблемы с выплатами украинским исследователям ошибочны, будут предприниматься попытки все починить;
- выплаты российским и белорусским исследователям временно на паузе "в строгом соответствии с законодательством";
- выплаты будут перенаправлены на благотворительность только в случае прямого указания исследователя (приносим извинения за неточность в прошлых заявлениях).
В принципе ничего нового, но это уже официальная позиция, а не просто твит.
На данный момент выплаты в российские банки отклоняются со статусом
rejection_verified.Hackerone
Sanctions FAQ | HackerOne
We sincerely sympathize with the frustration and uncertainty faced by hackers and customers affected by exports controls and sanctions in areas such as Russia, Belarus, and occupied areas of Ukraine. We also recognize delays have occurred with various payment…
Есть информация, что выплаты до сих пор можно получать в крипте через Coinbase:
https://news.1rj.ru/str/WebPwnChat/131201
Кто хочет – может попробовать. Для небольших сумм это вполне себе вариант, как мне кажется.
Только нужно учесть, что на данный момент невозможно легально получать оплату криптой в России за свои услуги согласно Закону о Цифровых Финансовых Активах и Цифровой Валюте. Это просто-напросто запрещено.
Однако, сейчас идут обсуждения на этот счет. Возможно, в скором будущем это станет легальным способом получения оплаты.
P.S.: речь о России, в Беларуси это разрешено, насколько я понимаю.
https://news.1rj.ru/str/WebPwnChat/131201
Кто хочет – может попробовать. Для небольших сумм это вполне себе вариант, как мне кажется.
Только нужно учесть, что на данный момент невозможно легально получать оплату криптой в России за свои услуги согласно Закону о Цифровых Финансовых Активах и Цифровой Валюте. Это просто-напросто запрещено.
Однако, сейчас идут обсуждения на этот счет. Возможно, в скором будущем это станет легальным способом получения оплаты.
P.S.: речь о России, в Беларуси это разрешено, насколько я понимаю.
👍2