Мой первый принятый отчёт на HackerOne - $150 за IDOR в API мобильного приложения финтех-стартапа, декабрь 2021 года. До него три месяца без единого accepted: 11 отклонённых репортов, 4 дубликата и один N/A за находку вне scope. Если пересчитать 200+ потраченных часов в ставку - вышло меньше доллара в час. Через полтора года картина перевернулась: стабильные $2,000–3,000 в месяц на Bug Bounty плюс пентест-контракт на $4,000. Разница между нулевым и продуктивным периодом - не в секретных техниках, а в понимании того, какой канал монетизации работает на каком этапе. Вопрос «bug bounty как заработать» без контекста вашей текущей позиции - бессмысленный.
Bug bounty как заработать: три легальных канала для белого хакера
Легальный заработок на хакинге в 2025 году идёт по трём каналам: Bug Bounty (сдельная модель - платят за найденную уязвимость), пентест-проекты (контрактная модель - платят за время и экспертизу) и сертификации (мультипликатор ставки на обоих рынках). У каждого канала собственная экономика, порог входа и кривая дохода. Подробнее - в нашем статье о карьера в кибербезопасности.Большинство гайдов по поиску уязвимостей за деньги рассматривают только один путь - обычно Bug Bounty. На практике работающая стратегия комбинирует все три направления с разным весом в зависимости от стадии карьеры. Ниже - разбор каждого пути с конкретными цифрами, ограничениями и планом действий.
Bug Bounty программы - сдельная охота за уязвимостями
Платформы и реальные выплаты в 2025
Bug Bounty - модель, где компания платит исключительно за подтверждённую уязвимость с доказательством эксплуатации. Нет результата - нет денег, сколько бы часов вы ни сожгли. Этот момент многие недооценивают на старте.Международные платформы: HackerOne (крупнейшая площадка, тысячи публичных программ), Bugcrowd, Intigriti (европейская, на отдельных программах конкуренция заметно ниже). Впрочем, топовые выплаты - это верхний 0.01%, не ориентир для планирования.
Российские платформы: StandOff365 Bug Bounty (Positive Technologies), BI.ZONE Bug Bounty, BugBounty.ru (Киберполигон). Для российского хантера тут три плюса: отчёты на русском, конкуренция в 5–10 раз ниже, триаж за 1–7 дней (против 30–90 на международных площадках).
Диапазон выплат по классам уязвимостей:
| Тип уязвимости | Категория OWASP | Международные ($) | Российские (руб.) |
|---|---|---|---|
| IDOR | A01 Broken Access Control | 500–1,500 | 15,000–50,000 |
| XSS | A03:2021 Injection (в OWASP 2017 был отдельной категорией A07) | 300–800 | 10,000–30,000 |
| SQL Injection | A03 Injection | 1,500–5,000 | 50,000–150,000 |
| SSRF | - | 1,000–4,000 | 30,000–120,000 |
| RCE | - | 3,000–15,000 | 100,000–1,000,000 |
| Business Logic | A04 Insecure Design | 800–3,000 | 20,000–100,000 |
Медианный заработок сильно ниже потолка. TechTarget формулирует прямо: «Few hunters earn enough to rely on bounties as their primary source of income.» По оценкам из русскоязычного сегмента, средний багхантер зарабатывает порядка нескольких тысяч долларов в год, при этом топ-10% выходят на $40,000–50,000/год.
Почему стандартный пентестерский подход не приносит денег в Bug Bounty
Hakluke (Bugcrowd) описывает собственный путь: имея OSCP и год полноценной работы пентестером, он месяцами не мог найти ни одного валидного бага на платформах. Корень проблемы - в принципиальной разнице моделей: «As a pentester, you are paid for your time. As a bug bounty hunter, you are paid for impact.»В пентесте стандартная цепочка - разведка и Vulnerability Scanning (T1595.002, reconnaissance), обнаружение сервисов через Network Service Discovery (T1046, discovery), попытки эксплуатации через Exploit Public-Facing Application (T1190, initial access). В Bug Bounty ту же цепочку уже прошли сотни хантеров до вас. Всё, что ловится «стандартной методологией», давно зарепорчено.
Что реально приносит деньги в Bug Bounty:
- Длительная разведка без ограничений по времени. В пентесте у вас 5 дней - словарь не прогнался, нагрузку лимитируют. В BB можно запустить кастомный directory brute force на месяц с программно-специфическими словарями. Hakluke пишет: «It doesn't matter if the brute-force takes a month to complete because requests are free, and there are no time constraints»
- Мониторинг изменений. Отслеживание новых поддоменов через
subfinderиamass, мониторинг DNS-записей, выход новых API-эндпоинтов. Новый функционал - необъезженная территория с минимальной конкуренцией - Глубокое погружение в одну цель вместо распыления. По данным TechTarget: «Hunters tend to find most success by consistently targeting a single company or a small number of companies»
- Blind-атаки с отложенным срабатыванием. Blind XSS пейлоад, который сработает через месяц в панели администратора. В пентесте с его жёсткими сроками такой подход нереализуем
Пентест карьера - стабильный контрактный доход
Ставки и формат: штат vs фриланс пентест
Пентест-проект - работа с фиксированной оплатой за проведение тестирования и подготовку отчёта. Заказчик платит за экспертизу вне зависимости от числа находок. Полная противоположность сдельной модели Bug Bounty - и главное преимущество для тех, кто ценит предсказуемость.Три рабочих модели:
Штат в ИБ-компании (Positive Technologies, BI.ZONE, Инфосистемы Джет, Solar, Angara). Ориентировочные вилки: junior 120,000–180,000 руб./мес, middle 200,000–350,000 руб./мес, senior 350,000+ руб./мес. Цифры меняются по региону и стеку - проверяйте текущие вакансии на hh.ru по запросу «пентестер». На момент написания вакансий с требованием OSCP или eWPTX в описании становится всё больше.
Фриланс-контрактор - ставка выше, стабильность ниже. Средний проект на веб-приложение (2–4 недели): 150,000–400,000 руб. Пентест сетевой инфраструктуры или AD assessment: от 300,000 руб.
Международные контрактные платформы - Cobalt, Synack. Ставки в долларах, но конкуренция с глобальным пулом.
Как стать пентестером: от нуля до первого контракта
Этичный хакер с чего начать, если цель - пентест-карьера:- Фундамент (2–3 месяца): OWASP Top 10 (Broken Access Control, Injection, Security Misconfiguration - три самых частых класса на реальных проектах), PortSwigger Web Security Academy (бесплатно, покрывает все основные веб-уязвимости), базовая работа с Burp Suite Community
- Практика (2–4 месяца): лабораторные среды HackTheBox и TryHackMe, параллельные попытки на BB-платформах для формирования портфолио
- Сертификация (1–3 месяца подготовки): BSCP ($99) как бюджетный входной билет или OSCP ($1,749) как индустриальный стандарт
- Первый контракт: резюме с сертификацией + 2–3 принятых BB-отчёта = конкурентная заявка на junior-позицию
Сертификация по кибербезопасности и влияние на заработок
OSCP сертификат, BSCP, eWPTX - цены и рыночная ценность
Сертификация не заменяет практику, но бьёт по двум точкам: скорость прохождения HR-фильтра и обоснование ставки перед заказчиком. Четыре основных варианта для offensive-специалиста.| Сертификация | Цена (ориентир 2025) | Формат | Что даёт в реальности |
|---|---|---|---|
| OSCP (OffSec) | ~$1,749 (PEN-200 + 90 дней лабов + 1 попытка экзамена), ~170,000 руб. | 24-часовой практический экзамен | Де-факто стандарт. Упоминается в подавляющем большинстве вакансий middle+. Методология сильная, но веб-часть поверхностная |
| BSCP (PortSwigger) | ~$99 за экзамен + Burp Suite Pro ($475/год) для сдачи; лабы Web Security Academy бесплатны | 4-часовой практический | Глубокий веб-фокус. Лучшее соотношение цена/знания на рынке. HR мало знают, зато техлиды ценят |
| eWPTX (INE) | ~$749–1,299 (подписка INE) | Практический + отчёт | Продвинутые веб-техники. Признаётся в Европе |
| CEH (EC-Council) | ~$1,199 (exam voucher) | Тест с вариантами ответов | Маркетинговый вес выше практического. HR знают, техлиды относятся скептически |
Из OSCP в Bug Bounty реально переносится: системная методология разведки, культура написания отчётов, дисциплина тестирования. Что остаётся академическим: классические buffer overflow на устаревших бинарниках, privilege escalation через kernel exploits на непатченных машинах - в реальных BB-программах такие вектора встречаются крайне редко.
Корпоративная оплата: как договориться с работодателем
Крупные ИБ-компании и системные интеграторы часто компенсируют стоимость сертификаций. Типичные схемы:- Полная оплата с условием отработки 1–2 года после получения сертификата
- Частичная компенсация (50–70%) без жёстких обязательств по сроку
- Оплата повторной попытки - зависит от политики конкретной компании, уточняйте до подписания
Три пути рядом: итоговое сравнение
| Критерий | Bug Bounty | Пентест-контракты | Сертификации |
|---|---|---|---|
| Модель дохода | Сдельная (за уязвимость) | Контрактная (за проект/время) | Мультипликатор ставки |
| Стабильность | Низкая: от $0 до $10,000/мес | Высокая при потоке проектов | Не источник дохода |
| Порог входа | Низкий (бесплатная регистрация) | Средний (квалификация + юр. обвязка) | Финансовый ($99–1,749) |
| Время до первых денег | 1–6 месяцев (по моему опыту) | 1–3 месяца через найм | Не применимо |
| Масштабируемость | Высокая (автоматизация, private invite) | Ограничена рабочими часами | Скачкообразная |
| Юридический риск | Минимальный в рамках scope | Минимальный с договором | Отсутствует |
| Налоги в РФ | 13% НДФЛ + валютный контроль | Стандартное ТД или ГПХ | Не применимо |
| Оптимальная аудитория | Терпеливые, любящие автоматизацию | Системные, ценящие стабильность | Все (усилитель) |
Ограничения каждого пути
Bug Bounty не работает, когда:- Ожидаете стабильного дохода с первого месяца - начальные 1–6 месяцев с высокой вероятностью убыточны по соотношению время/деньги
- Полагаетесь только на автоматические сканеры -
nucleiиamassбез ручного анализа и мониторинга изменений выдают почти исключительно дубликаты - Не готовы к конкуренции - на популярных программах HackerOne сотни хантеров параллельно работают по одному scope
- Не учитываете валютное законодательство - выплаты от иностранных платформ требуют внимания к валютному контролю в РФ
- Нет подтверждения квалификации - заказчик не доверит инфраструктуру без сертификации или верифицируемого портфолио
- Работаете без договора - тестирование без письменного разрешения = уголовный риск по ст. 272 УК РФ, никакие устные договорённости не спасут
- Слабые навыки подготовки отчётов - 50% ценности пентестера в deliverable. На VK Bug Bounty прямо говорят: «не жалейте время на хороший отчёт» - в пентесте это критично вдвойне
- Собираете серты вместо практики - пять сертификатов без единого реального проекта не поднимут ставку
- Целевой рынок не узнаёт вашу серту - CEH знакома HR-ам, BSCP нет. Выбор зависит от того, кому вы продаёте себя: рекрутеру или техлиду
Стратегия на первый год: от нуля до комбинированного дохода
Месяцы 1–3:За три года совмещения Bug Bounty с пентест-проектами я убедился в одном: BB как единственный источник дохода - путь для верхних 2–3% хантеров. Остальные либо выгорают за первый год, либо зарабатывают на уровне статистической погрешности. Дело не в навыках - в модели. Сдельная оплата за находку создаёт степенное распределение: одна Critical за $10,000 на фоне трёх месяцев нулей. Предсказуемый доход на такой кривой не построить. Романтизация «хакерского фриланса» - маркетинг BB-платформ, которым выгодно иметь армию мотивированных тестировщиков с нулевой базовой оплатой.
Рабочая стратегия - использовать Bug Bounty как полигон для навыков и генератор портфолио, пентест-контракты как предсказуемый baseline дохода, а сертификации как рычаг ставки. OSCP не содержит ничего, чего нет в бесплатных лабах PortSwigger и HackTheBox, - зато одна строчка в резюме смещает зарплатное предложение на 30–40%. Инвестиция в $1,749 отбивается разницей в ставке за два–три месяца работы. Кто отказывается вкладываться в серту - компенсирует это временем: будет доказывать квалификацию через портфолио BB-репортов втрое дольше. Если идёшь к OSCP и нужна подготовка по веб-части - WAPT покрывает этот блок в первой трети курса с русскоязычными лабами и ментором при затыке.
