Логотип
Главная | Статьи | Разработал эксплойт? Как его продать?
Разработал экслпойт? Как его продать?

Разработал эксплойт? Как его продать?

26 февраля, 2026

34

Отличный вопрос для любого серьёзного ресёрчера. Рынок эксплойтов – это реальный бизнес с чёткими правилами, ценами и юридическими границами. Вот полная карта того, как монетизировать свою находку правильно.

Три пути: белый, серый, чёрный

Прежде чем продавать – понимай, на каком рынке ты работаешь. Это не метафора, это юридическая реальность.

РынокКому продаёшьЛегальностьРиск
БелыйBug bounty платформы, вендоры✅ Полностью легальноМинимальный
СерыйБрокеры (Zerodium и др.)⚠️ Зависит от юрисдикцииСредний
ЧёрныйКриминал, даркнет❌ Незаконно вездеРеальный срок

Белый рынок: Bug Bounty

Самый чистый и безопасный путь. Ты находишь уязвимость, репортишь вендору через платформу – получаешь деньги и CVE на своё имя.

Топовые платформы:

  • HackerOne – лидер рынка, средний чек выплат $500–$5000, топ-репорты уходят за $100 000+. За 2024–2025 год платформа выплатила $81 млн багхантерам, а топ-100 ресёрчеров всех времён собрали $31.8 млн
  • Bugcrowd – средний чек выплат $300–$3000, топ до $50 000+​
  • Intigriti – европейская альтернатива, хорошо для EU-таргетов
  • BI.ZONE Bug Bounty (RU) – в 2025 году организации выплатили багхантерам 100 млн рублей за 5800 отчётов​
  • Standoff 365 Bug Bounty (RU) – платформа Positive Technologies, в 2025 году 58% всех критических уязвимостей касались контроля доступа​
  • Bugbounty.ru (RU) – третья российская публичная площадка​

Как работает процесс (Responsible Disclosure):

  1. Находишь уязвимость
  2. Пишешь детальный отчёт: описание, PoC, impact, шаги воспроизведения
  3. Отправляешь через платформу или напрямую в security@vendor.com
  4. Ждёшь подтверждения (обычно 72 часа на первый ответ)
  5. Вендор патчит → ты получаешь выплату + CVE ID через MITRE
  6. После патча публикуешь writeup → репутация растёт

⚡ Лайфхак: Никогда не публикуй детали уязвимости до патча. Это нарушает условия программы и превращает тебя из ресёрчера в уголовника.

Серый рынок: брокеры эксплойтов

Это компании, которые покупают 0-day у ресёрчеров и перепродают правительствам и силовым структурам. Самый известный – Zerodium.

Цены Zerodium (актуальные ориентиры):

  • Android full-chain 0-click: до $2.5 млн
  • iOS 0-click: до $2 млн
  • WhatsApp / iMessage RCE: от $500K до $1M+
  • Браузерные эксплойты: от $50K до $500K

Zerodium тратит от $1 до $3 млн в месяц на покупку уязвимостей. Купленные эксплойты не идут на патчинг – они продаются правительствам как инструменты слежки. Рынок существует в правовой серой зоне: сам факт продажи не всегда нелегален, но конечное использование – вопрос отдельный.

Юридическая сторона в РФ

В России работать с Bug Bounty платформами абсолютно легально – это вознаграждение за услуги, облагается налогом как доход ИП или самозанятого. Если выходишь за scope программы или тестируешь без разрешения – это ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»), и никакие деньги не стоят этого риска.​

Как написать убойный отчёт

Хороший отчёт = быстрая выплата. Плохой отчёт = «не воспроизводится», дубликат или вообще отказ.

Impact

Полный доступ к серверной файловой системе без аутентификации.
Потенциальный злоумышленник может получить credentials из конфигов.

Remediation

Валидировать имена файлов, запретить path traversal sequences.