Amigos, este mes Otus lanza el reclutamiento para un nuevo curso: "Seguridad de la aplicación" . En previsión del comienzo del curso, tradicionalmente hemos preparado una traducción de material útil para usted.
¿Cómo iniciar Bug Bounty? Esta pregunta es muy común y sigo recibiéndola en mensajes día a día. No puedo responder a todos los mensajes, así que decidí escribir un artículo y enviar a todos los principiantes a leerlo.
He estado haciendo Bug Bounty durante cinco años. Sin embargo, hay muchas cosas que no sé, y yo mismo no soy un experto, así que no considere este artículo como un consejo de un experto. Solo compartiré lo que he logrado en los últimos 5 años, mejorando mis habilidades todos los días.
Introduccion
Vi a mucha gente en la comunidad de Bug Bounty diciendo: "No soy un experto en tecnología, así que no soy muy bueno haciendo Bug Bounty".
De hecho, es un error pensar que solo alguien de la esfera de la informática puede ser un buen especialista en Bug Bounty. Si está familiarizado con la informática, esto sin duda ayudará, pero no es necesario, puede aprender completamente los conceptos básicos usted mismo. Sin embargo, si no tiene experiencia técnica, solo debe lidiar con la recompensa de errores si está más interesado en aprender sobre seguridad de la información en lugar de ganar dinero.
Por educación, pertenezco al campo de la ingeniería mecánica, pero estaba interesado en la seguridad de la información desde la escuela, sin embargo, fui a obtener educación en ingeniería mecánica por consejo de mi familia, pero siempre me enfoqué en la seguridad de la información.
Puedo contar muchas historias sobre cómo las personas de la esfera no técnica logran el éxito en el campo de la seguridad de la información y la recompensa por errores.
Sin embargo, todos ellos tenían cualidades comunes, a saber, "interés" y la voluntad de participar en "trabajo duro".
Si cree que tendrá éxito en una noche, una semana o un mes, entonces esto no es lo que debe hacer. Hay mucha competencia en la recompensa de errores, porque una buena "búsqueda de errores" puede llevar todo un año. Debes seguir aprendiendo, compartir experiencias y practicar constantemente. Debe ser perseguido por la curiosidad, debe esforzarse por aprender algo nuevo y explorar esta área por su cuenta. Ahora hay una gran cantidad de contenido educativo gratuito.
No pague a las personas que dicen que lo harán un especialista en la recompensa de errores en una noche. La mayoría de ellos son estafadores.
A continuación se detallan las cosas que debe saber antes de comenzar con la seguridad de la información.
Nadie puede contarte todo sobre esta área, estudiar es un largo camino que debes recorrer solo, con la ayuda de otras personas.
"No esperes que todos te traigan a un plato con un borde azul".
¿Cómo hacer preguntas?
Al hacerle una pregunta técnica a alguien, hágalo con toda responsabilidad.
No debe hacer preguntas como: "Aquí está el punto final, ¿podría sortear el filtro XSS por mí?"
Deberías hacer preguntas esencialmente, eso es todo.
Y no espere que las personas puedan responder su pregunta en unos minutos. Ellos responderán tan pronto como tengan tiempo libre, o pueden no responderle en absoluto debido a su apretada agenda o por alguna otra razón. Respetuosamente, consulte las consultas; no haga ping a quién no es necesario.
¿Cómo encontrar respuestas a todas sus preguntas?
Bueno, lo hice antes, ahora y lo haré en el futuro. Estoy usando google (puede usar otros motores de búsqueda: P)
Habilidades técnicas básicas para un principiante.
Supongo que tiene una comprensión básica de cómo funciona todo en Internet. Hay muchas cosas que debes aprender, pero no puedo enumerarlas todas aquí. Enumeraré solo algunos temas importantes, y usted aprenderá el resto usted mismo.
Protocolo HTTP -
Modelo TCP / IPLinux -
Símbolo del sistemaTecnologías de aplicaciones webHabilidades básicas de redesObtenga las
habilidades básicas de HTML, PHP, Javascript : este es solo el comienzo, porque la lista nunca terminará y depende de sus intereses personales. De alguna manera, forma un interés de acuerdo con sus necesidades.
También es muy importante tener una idea de los diversos tipos de vulnerabilidades lo más rápido posible. Para hacer esto, agregué la sección "Fundamentos de seguridad de aplicaciones web".
Selección de ruta
Elegir el camino correcto en el campo de la recompensa de errores es muy importante, y dependerá por completo de sus intereses, pero muchos muchachos eligen comenzar con aplicaciones web por sí mismos, y yo mismo creo que este camino es el más fácil.
- Pruebas de seguridad de aplicaciones web.
- Pruebas de seguridad de aplicaciones móviles.
Sin embargo, no te limites a estos dos puntos. Repito, esto es una cuestión de interés.
Conceptos básicos de seguridad de aplicaciones web
OWASP TOP-10 2010
OWASP TOP-10 2013
OWASP TOP-10 para 2017Comience en 2010 para comprender qué vulnerabilidades estuvieron en la cima ese año, haga un seguimiento de lo que les sucedió en 2017. Te das cuenta de esto estudiándolos y practicando.
Guía de prueba de OWASP V4No es necesario que aprenda esta guía de pruebas e inmediatamente vaya a trabajar, debe comenzar a trabajar en objetivos de vida (legales), porque esta es la única forma de mejorar sus habilidades.
Prueba de seguridad de aplicaciones móvilesUna vez que obtenga más experiencia, puede cambiar libremente entre las áreas que más le gusten.
OWASP TOP-10 Vulnerabilidades de aplicaciones móvilesHay que hacer una parada en el camino hacia la seguridad de las aplicaciones móviles:
Seguridad de aplicaciones móviles Wikipedia de Aditya Agrawal .
Wikipedia de seguridad de aplicaciones también de Aditya AgrawalLibros a los que me refiero periódicamente
- Manual del hacker de aplicaciones web
- Dominar las pruebas de penetración web modernas
- The Hacker Playbook 1, 2 y 3
- El manual del hacker de aplicaciones móviles
- Irrumpir en la seguridad de la información
- Piratería web 101
Canales de YouTube y listas de reproducción
- Ipsec
- Liveoverflow
- Tutoriales de desarrollo web
Conferencias que deberías ver
Akhil George : creó una lista de reproducción de recompensas de errores en Youtube.
Cómo disparar web por
Jason HaddixPractica! Practica! Practica!
Es muy importante estar al tanto de las nuevas vulnerabilidades. Cuando juegue para obtener información del servidor, siga la información sobre exploits disponibles públicamente para escalar el ataque.
Puede comenzar a trabajar con aplicaciones con vulnerabilidades.
- Hackerone
- Notas del condado de errores
- Pentesterlab
- Hackthebox
- Maldita aplicación web vulnerable
- Juego XSS de Google
- Vulnhub
- Hackame
Mientras hacía las pruebas de seguridad de laboratorio, escribí varios artículos en mi blog, puedes encontrarlos a continuación:
.
Platforms for Bug Bounty es un gran lugar donde puedes probar tus habilidades. No se desanime si no funciona de inmediato, todavía está aprendiendo y una recompensa como la experiencia es mucho más importante.
HackeroneBugcrowdSynackHackenproofIntigritiBountyfactoryBugbounty JapónAntihackLos hashtags de Twitter que debes seguir:
#bugbounty
#bugbountytips
#infosec
#togetherwehitharder
Herramientas que necesita dominar (* herramienta)
Suite de eructosPara comenzar, practique el uso de la versión gratuita de Burp Suite o la edición comunitaria para comenzar a trabajar en programas de recompensas de errores, y tan pronto como comience a funcionar, sea generoso y compre la edición Burp Suite Professional. No te arrepentirás.
Nota : No use la versión pirateada de Burp Suite Professional, respete el trabajo que hace el equipo de
Portswigger .
Hay muchas fuentes abiertas en las que puedes aprender más sobre Burp Suite pro, pero solo te ayudarán si decides invertir un poco de dinero en tu hobby. Puedo recomendar las siguientes fuentes:
Curso en línea
Pranav Hivarekar -
Burp Suite MasteryConceptos básicos de
Burp Suite de Akash MahajanPara ayudar con la recopilación de información y la inteligencia de campo, escribí otro
artículo sobre este tema en mi blog.
Recompensa por errores y salud mental
El área de Bug Bounty está estrechamente relacionada con el estrés, por lo que debe cuidar su salud física y mental, lo cual es muy importante. El resto no importa. Mi buen amigo Nathan escribió una gran
publicación sobre este tema .
Definitivamente deberías leerlo.
Blogs que vale la pena leer
Hay otros blogs geniales además de estos, no puedo enumerar todo, usted mismo puede encontrarlos tan pronto como se interese en este tema.
Mira chicos geniales en github
Michael henriksenMichael SkeltonIce3manBen sadeghipourTom HudsonAhmed aboul-elaMauro SoriaGianni amatoJeff foleyGwendal le coguicConsidere donarles una pequeña porción de su recompensa de recompensa de errores exitosa para apoyar sus proyectos de código abierto, o puede ayudarlos a desarrollar sus proyectos. Por supuesto, esto es solo si aceptan apoyo financiero.
Siga a los miembros activos de Bug Bounty en Twitter
Frans rosénMathias karlssondawgygOlivier ruegaJobert abmaSTÖKGerben javadoTannerBen sadeghipourYassine aboukirGeekboyPatrik FehrenbachEdx1mNathanTh3g3nt3lmanUranio238Santiago lopezRahul mainiBret buerhausDuro jaiswalPareshJoel margolisAbdullah hussamzseanoRon chanParth MalhotraPrateek tiwariPranav hivarekarJigar thakkarnikhilRishiraj Sharmamáquina de pwnToronaffy | líder de pensamientoshubsInti de ceukelaireArtemBhavuk jainAvinash jainEmad ShanabEbrahim hegazyYasser aliAkhil reniak1t4mongoArbaz HussainY muchos otros muchachos, pero tampoco puedo agregar todos.
Agradecimientos
¡Gracias a
Prateek Tiwari ,
Rishiraj Sharma y
Geekboy por ayudar con la edición de este artículo!
Hasta pronto!
Eso es todo. E invitamos a todos a un seminario web gratuito sobre el tema: "Seguridad (en) aplicación: búsqueda de errores" .