🚵🏾 💙 🍃 Erste Schritte mit Bug Bounty 💯 👜 👄

Freunde, diesen Monat startet Otus die Rekrutierung für einen neuen Kurs - "Anwendungssicherheit" . Im Vorfeld des Kursbeginns haben wir traditionell eine Übersetzung von nützlichem Material für Sie vorbereitet.

Wie starte ich Bug Bounty? Diese Frage ist sehr häufig und ich erhalte sie weiterhin Tag für Tag in Nachrichten. Da ich nicht auf jede Nachricht antworten kann, habe ich beschlossen, einen Artikel zu schreiben und allen Anfängern das Lesen zu ermöglichen.

Ich mache jetzt seit fünf Jahren Bug Bounty. Es gibt jedoch viele Dinge, die ich nicht weiß, und ich selbst bin kein Experte. Bitte betrachten Sie diesen Artikel nicht als Rat eines Experten. Ich werde nur erzählen, was ich in den letzten 5 Jahren erreicht habe und meine Fähigkeiten jeden Tag verbessern.

Einleitung

Ich habe viele Leute in der Bug Bounty-Community gesehen, die sagten: "Ich bin kein Technikfreak, also kann ich Bug Bounty nicht sehr gut."

Tatsächlich ist es ein Irrtum, dass nur jemand aus dem Computerbereich ein guter Spezialist für Bug Bounty sein kann. Wenn Sie mit Informatik vertraut sind, wird dies sicherlich helfen, aber es ist nicht erforderlich, Sie können die Grundlagen selbst vollständig erlernen. Wenn Sie jedoch keinen technischen Hintergrund haben, sollten Sie sich nur dann mit Bug Bounty befassen, wenn Sie mehr an Informationssicherheit interessiert sind, als Geld zu verdienen.

Nach meiner Ausbildung gehörte ich zum Bereich Maschinenbau, interessierte mich jedoch für die Informationssicherheit von der Schulbank aus. Auf Anraten meiner Familie erhielt ich eine Ausbildung im Bereich Maschinenbau, wobei ich mich immer auf die Informationssicherheit konzentrierte.

Ich kann eine Menge Geschichten darüber erzählen, wie Menschen aus dem nicht-technischen Bereich im Bereich Informationssicherheit und Bug Bounty Erfolge erzielen.

Sie alle hatten jedoch gemeinsame Eigenschaften, nämlich „Interesse“ und die Bereitschaft, sich auf „harte Arbeit“ einzulassen.

Wenn Sie glauben, dass Sie in einer Nacht, einer Woche oder einem Monat Erfolg haben werden, sollten Sie dies nicht tun. Bei Bug Bounty gibt es viel Konkurrenz, denn eine gute „Bug Hunt“ kann ein ganzes Jahr dauern. Sie sollten ständig weiter lernen, Erfahrungen austauschen und üben. Sie sollten von Neugier verfolgt werden, sollten sich bemühen, etwas Neues zu lernen und dieses Gebiet auf eigene Faust zu erkunden. Jetzt gibt es eine sehr große Menge an kostenlosen Bildungsinhalten.

Zahlen Sie nicht Menschen, die sagen, dass Sie in einer Nacht zum Spezialisten für Bug Bounty werden. Die meisten von ihnen sind Betrüger.

Nachfolgend finden Sie die Dinge, die Sie wissen müssen, bevor Sie mit der Informationssicherheit beginnen.

Niemand kann dir alles über dieses Gebiet erzählen, das Lernen ist ein langer Weg, den du alleine gehen musst, mit der Hilfe anderer Leute.

"Erwarten Sie nicht, dass jeder Sie auf einen Teller mit blauem Rand bringt."

Wie stelle ich Fragen?

Wenn Sie jemandem eine technische Frage stellen, tun Sie dies mit aller Verantwortung.
Sie sollten keine Fragen stellen wie: "Hier ist der Endpunkt, könnten Sie den XSS-Filter für mich umgehen?"

Sie sollten im Wesentlichen Fragen stellen - das ist alles.
Und erwarten Sie nicht, dass die Leute Ihre Frage in wenigen Minuten beantworten können. Sie werden antworten, sobald sie Zeit haben, oder sie werden Ihnen aufgrund ihres vollen Terminkalenders oder aus einem anderen Grund nicht antworten. Konsultationen mit Respekt konsultieren - nicht pingen, wer nicht notwendig ist.

Wie finde ich Antworten auf all deine Fragen?

Nun, ich habe es vorher getan, jetzt und in Zukunft. Ich benutze Google. (Sie können auch andere Suchmaschinen verwenden: P)

Grundlegende technische Fähigkeiten für einen Anfänger

Ich gehe davon aus, dass Sie ein grundlegendes Verständnis dafür haben, wie alles im Internet funktioniert. Es gibt viele Dinge, die Sie lernen müssen, aber ich kann sie hier nicht alle auflisten. Ich werde nur einige wichtige Themen auflisten, und Sie werden den Rest selbst lernen.

HTTP-Protokoll - TCP / IP-Modell
Linux - Eingabeaufforderung
Webanwendungstechnologien
Grundlegende Netzwerkfähigkeiten

Erlernen Sie die Grundkenntnisse von HTML, PHP und Javascript - Dies ist nur der Anfang, da die Liste niemals enden wird und von Ihren persönlichen Interessen abhängt. Sie bilden irgendwie ein Interesse in Übereinstimmung mit Ihren Bedürfnissen.

Es ist auch sehr wichtig, sich so schnell wie möglich einen Überblick über die verschiedenen Arten von Schwachstellen zu verschaffen. Zu diesem Zweck habe ich den Abschnitt "Grundlagen der Sicherheit von Webanwendungen" hinzugefügt.

Pfadauswahl

Die Wahl des richtigen Pfades im Bereich der Bug Bounty ist sehr wichtig, und es hängt ganz von Ihren Interessen ab, aber viele Leute entscheiden sich dafür, selbst mit Webanwendungen zu beginnen, und ich selbst halte diesen Pfad für den einfachsten.

Testen der Sicherheit von Webanwendungen.
Sicherheitstests für mobile Anwendungen.

Beschränken Sie sich jedoch nicht auf diese beiden Punkte. Ich wiederhole, das ist eine Frage des Interesses.

Grundlagen zur Sicherheit von Webanwendungen
OWASP TOP-10 2010
OWASP TOP-10 2013
OWASP TOP-10 für 2017

Beginnen Sie im Jahr 2010, um zu verstehen, welche Sicherheitslücken in diesem Jahr oben waren, und verfolgen Sie, was 2017 mit ihnen geschehen ist. Sie erkennen dies, indem Sie sie studieren und üben.

OWASP V4-Testhandbuch

Sie müssen diesen Testleitfaden nicht lernen und sofort zur Arbeit gehen. Sie müssen beginnen, an (rechtlichen) Zielen zu arbeiten, da dies der einzige Weg ist, Ihre Fähigkeiten zu verbessern.

Sicherheitstests für mobile Anwendungen

Sobald Sie mehr Erfahrung gesammelt haben, können Sie frei zwischen Bereichen wechseln, die Sie bevorzugen.

Sicherheitslücken in OWASP TOP-10 für mobile Anwendungen

Auf dem Weg zur Sicherheit mobiler Apps müssen Sie einen Zwischenstopp einlegen:

Sicherheit mobiler Anwendungen Wikipedia von Aditya Agrawal .
Anwendungssicherheit Wikipedia auch von Aditya Agrawal

Bücher, auf die ich mich regelmäßig beziehe

Youtube-Kanäle und Wiedergabelisten

Konferenzen, die Sie sich ansehen sollten

Akhil George - hat eine Bug Bounty Playlist auf Youtube erstellt.

How to Shot Web von Jason Haddix

Übe! Übe! Übe!

Es ist sehr wichtig, sich neuer Schwachstellen bewusst zu sein. Befolgen Sie beim Abrufen von Informationen vom Server die Informationen zu öffentlich verfügbaren Exploits, um den Angriff zu eskalieren.

Sie können mit Anwendungen mit Sicherheitslücken arbeiten.

Während ich Laborsicherheitstests durchführte, schrieb ich mehrere Artikel in meinem Blog, die Sie unten finden können:

.
Plattformen für Bug Bounty sind ein großartiger Ort, an dem Sie Ihre Fähigkeiten testen können. Lassen Sie sich nicht entmutigen, wenn es nicht sofort klappt, Sie noch lernen und eine Belohnung wie Erfahrung ist viel wichtiger.

Hackerone
Bugcrowd
Synack
Hackensicher
Intigriti
Bountyfactory
Bugbounty Japan
Antihack

Twitter-Hashtags, denen Sie folgen sollten:

#bugbounty
#bugbountytips
#infosec
#zusammen mit anderen

Werkzeuge, die Sie beherrschen müssen (* Werkzeug)

Burp Suite

Üben Sie zunächst die Verwendung der kostenlosen Version von Burp Suite oder der Community Edition, um mit der Arbeit an Bug-Bounty-Programmen zu beginnen. Seien Sie großzügig und kaufen Sie die Burp Suite Professional-Edition, sobald sie zu funktionieren beginnt. Du wirst es nicht bereuen.

Hinweis : Verwenden Sie nicht die Raubkopienversion von Burp Suite Professional, sondern respektieren Sie die Arbeit des Portswigger- Teams.

Es gibt viele offene Quellen, in denen Sie mehr über Burp Suite pro erfahren können. Diese helfen Ihnen jedoch nur, wenn Sie sich dazu entschließen, ein wenig Geld in Ihr Hobby zu investieren. Ich kann folgende Quellen empfehlen:

Pranav Hivarekar Online-Kurs - Burp Suite Mastery
Burp Suite Basics von Akash Mahajan

Ich habe einen weiteren Artikel zu diesem Thema in meinem Blog verfasst, um bei der Informationserfassung und der Feldforschung zu helfen.

Bug Bounty und psychische Gesundheit

Der Bug Bounty-Bereich ist eng mit Stress verbunden, daher müssen Sie auf Ihre körperliche und geistige Gesundheit achten, was sehr wichtig ist. Der Rest spielt keine Rolle. Mein guter Freund Nathan hat einen tollen Beitrag zu diesem Thema geschrieben .

Sie sollten es auf jeden Fall lesen.

Lesenswerte Blogs

Daneben gibt es noch andere coole Blogs, ich kann nicht alles auflisten, Sie können sie selbst finden, sobald Sie sich für diese Ausgabe interessieren.

Beobachten Sie coole Jungs auf Github

Michael Henriksen
Michael Skelton
Ice3man
Ben sadeghipour
Tom Hudson
Ahmed aboul-ela
Mauro soria
Gianni amato
Jeff Foley
Gwendal le coguic

Überlegen Sie, ob Sie ihnen einen kleinen Teil Ihrer Belohnung für die erfolgreiche Bug Bounty zur Unterstützung ihrer Open Source-Projekte spenden oder ob Sie ihnen bei der Entwicklung ihrer Projekte helfen können. Dies ist natürlich nur möglich, wenn sie finanzielle Unterstützung akzeptieren.

Verfolgen Sie aktive Bug Bounty-Mitglieder auf Twitter

Frans rosén
Mathias Karlsson
dawgyg
Olivier betteln
Jobert abma
STÖK
Gerben Javado
Gerber
Ben sadeghipour
Yassine Aboukir
Geekboy
Patrik Fehrenbach
Ed
x1m
Nathan
Th3g3nt3lman
Uranium238
Santiago Lopez
Rahul maini
Bret Buerhaus
Harter Jaiswal
Paresh
Joel Margolis
Abdullah Husam
zseano
Ron Chan
Parth Malhotra
Prateek Tiwari
Pranav hivarekar
Jigar Thakkar
nikhil
Rishiraj Sharma
Pwnmachine
Bull
naffy | Gedankenführer
shubs
Inti de ceukelaire
Artem
Bhavuk Jain
Avinash Jain
Emad Shanab
Ebrahim hegazy
Yasser ali
Akhil reni
ak1t4
Mongo
Arbaz Husain

Und viele andere, aber ich kann auch nicht alle hinzufügen.

Danksagung

Vielen Dank an Prateek Tiwari , Rishiraj Sharma und Geekboy für die Unterstützung bei der Bearbeitung dieses Artikels!

Bis bald!

Das ist alles. Und wir laden alle zu einem kostenlosen Webinar zum Thema "(In) Application Security: Bugs suchen" ein.

Erste Schritte mit Bug Bounty