🙂 Как стать одним из самых крутых багхантеров в программах поиска уязвимостей Google? 🏆 Мы не знаем, поэтому спросили у нашей коллеги Алёны Скляровой — обладательницы 11 CVE, обнаруженных ей в Android, и сразу двух тринадцатых мест: в рейтинге багхантеров Google за последний год и в топе исследователей Android за все время. В статье на Хабре она рассказала, с каких багов начинала, почему выбрала поиск уязвимостей в ОС, а не в приложениях, и дала много полезных советов, которые пригодятся и новичкам, и более опытным исследователям: https://vk.cc/cCmOCQ Например, про отчеты и пруфы. PoC может быть чем угодно — мобильным приложением, исполняемым файлом, скриптом, набором байтов. Но есть единое правило: PoC должен воспроизводиться на последней сборке AOSP. Или про патчи. Если вы нашли баг и знаете, как его исправить, — не стесняйтесь прикреплять патч к отчету, в дополнительные материалы. Патч можно дослать вдогонку, но сделайте это поскорее. Если команда инженеров примет его, вы можете рассчитывать на дополнительное вознаграждение. Ищите инструкцию целиком в статье: https://vk.cc/cCmOCQ #PositiveTechnologies