Чел с сертом oscp насколько успешно в бб программах может участвовать или сертификация упор на другое делает по большей части?

к примеру, в OSCP не мало посвящено например повышению привилегий, постэксплуатации, поиску способов получения рута

В багбаунти это не нужно и чаще всего наоборот не приветствуется

не очень помогает, всё же тут несколько различная специфика. ОСЦП больше в пентест

"а вот этого с осцп мы в приватку звать не бууудем"

Понял. Спасибо.  Надо подумать нужно ли оно мне.
А есть какой-нибудь обучающий курс именно по веб хакингу?

мне кажется пройдя все лабы от portswigger (самостоятельно, без подглядывания в решения) можно идти и зарабатывать свои мильОны

о, вот кстати да, лабы портсвиггера оч хороши и как раз супер концентрированы на веб

если брать курсы с бумажками - то OSWP, наверное, но про него ничего сказать не могу, ибо не сдавал. Народ выше уже писал про него.
Если без бумажек - то можно потыкаться Portswigger web academy, довольно доступно объясняет

а, ну вот уже и написали про него

Спасибо.  Учту

Я глядел лабы по нужным мне темам когда решил в бб стартануть. Текстовый формат не очень зашёл и доступен лично мне. Тот же корс. Я выше писал о * и как получать содержимое. Там совсем непонятное было.
Если учитывать,  что нет опыта веб разработки именно в продакшене и как работать с внутренними айпи и объяснение про любой внешний ресурс выглядят запутанно.

Значит надо пофрилансить, хотя бы делая сайты на заказ. Хотя бы так наверное уж начинать.

имхо - сейчас это почти что бесполезно. Вылезти на рынок фриланса, где кучи людей, у которых процесс создания сайта уже отлажен донельзя ну ооочень непросто. Впрочем, я не фрилансил уже больше пяти лет и могу ошибаться насчёт этого рынка.
Лично я имею сервак на DigitalOcean и домен, привязанный к нему, чтобы тестить всякие инфраструктурные штуки. Всё удовольствие выходит в 60+- долларов в год, что по нынешним меркам не так много. Также очень помогает своя лаба - комплект виртуалок (крошечный лес из трёх виндовых тачек в AD плюс одна-две убунты с веб-сервером).
Можно искать и готовые лабы, и тогда у тебя не будет многих проблем, с которыми сталкиваешься, когда не умеешь поднимать инфраструктуру (опять же, разобраться с dns-ами, конфигами веб-серверов, сертификатами и прочим прочим с наскока может быть не так просто), но это определённо ценные навыки, которые нужны и в бб, и в пентесте.

Материал в веб академии portswigger не редко бывает, что совсем не готовит к дерьму в лабах. База может и даётся, но всякие штуки вроде триггернуть xss через iframe с изменением размера фрейма по событию onload явно нужно узнавать откуда-то ещё. Они скорее про закрепление и погружение в проблему, чем про обучение новичков. Не все, конечно.

мм, узбекистан

а это нормально когда токены в аналитику типа гугланалитикс улетает? Типа ресет пароля

Нет)

нет, не нормально

.

а как это по науке, части сайта которые нельзя к аналитике подрубать