🤟🏿 📒 💥 Comment démarrer avec Bug Bounty 💖 ♻️ 👩🏽‍🏫

Amis, ce mois-ci, Otus lance le recrutement pour un nouveau cours - «Application Security» . En prévision du début du cours, nous avons traditionnellement préparé une traduction de matériel utile pour vous.

Comment démarrer Bug Bounty? Cette question est très courante et je continue de la recevoir dans les messages jour après jour. Je ne peux pas répondre à tous les messages, j'ai donc décidé d'écrire un article et d'envoyer tous les débutants pour le lire.

Je fais du Bug Bounty depuis cinq ans maintenant. Cependant, il y a beaucoup de choses que je ne sais pas, et je ne suis pas moi-même un expert, donc ne considérez pas cet article comme un conseil d'un expert. Je vais simplement partager ce que j'ai accompli au cours des 5 dernières années, en améliorant mes compétences tous les jours.

Présentation

J'ai vu beaucoup de gens dans la communauté Bug Bounty dire: "Je ne suis pas un technicien, donc je ne suis pas très bon à Bug Bounty."

En fait, c'est une idée fausse que seul un membre de la sphère informatique peut être un bon spécialiste de Bug Bounty. Si vous êtes familier avec l'informatique, cela vous aidera certainement, mais ce n'est pas nécessaire, vous pouvez apprendre vous-même les bases. Cependant, si vous n'avez pas de connaissances techniques, vous ne devriez traiter la prime aux bogues que si vous êtes plus intéressé à en apprendre davantage sur la sécurité des informations plutôt qu'à gagner de l'argent.

Par l'éducation, j'appartiens au domaine du génie mécanique, mais je m'intéressais à la sécurité de l'information du banc d'école, cependant, je suis allé faire des études en génie mécanique sur les conseils de ma famille, mais j'ai toujours mis l'accent sur la sécurité de l'information.

Je peux raconter beaucoup d'histoires sur la façon dont les gens de la sphère non technique réussissent dans le domaine de la sécurité de l'information et du bug bounty.

Cependant, tous avaient des qualités communes, à savoir «l'intérêt» et la volonté de s'engager dans un «travail acharné».

Si vous pensez que vous réussirez en une nuit, une semaine ou un mois, ce n'est pas ce que vous devez faire. Il y a beaucoup de compétition dans la prime aux insectes, car une bonne «chasse aux insectes» peut prendre une année entière. Vous devez constamment continuer à apprendre, partager des expériences et pratiquer. Vous devez être poursuivi par curiosité, vous devez vous efforcer d'apprendre quelque chose de nouveau et d'explorer ce domaine par vous-même. Maintenant, il y a une très grande quantité de contenu éducatif gratuit.

Ne payez pas les gens qui disent qu'ils feront de vous un spécialiste de la chasse aux insectes en une nuit. La plupart d'entre eux sont des escrocs.

Vous trouverez ci-dessous ce que vous devez savoir avant de vous lancer dans la sécurité des informations.

Personne ne peut tout vous dire sur ce domaine, l'étude est un long chemin que vous devez faire cavalier seul, en utilisant l'aide d'autres personnes.

"Ne vous attendez pas à ce que tout le monde vous apporte sur une assiette avec une bordure bleue."

Comment poser des questions?

Lorsque vous posez une question technique à quelqu'un, faites-le en toute responsabilité.
Vous ne devriez pas poser des questions comme: "Voici le point final, pourriez-vous contourner le filtre XSS pour moi?"

Vous devriez poser des questions essentiellement - c'est tout.
Et ne vous attendez pas à ce que les gens puissent répondre à votre question en quelques minutes. Ils vous répondront dès qu'ils auront du temps libre, ou ils pourraient ne pas vous répondre du tout à cause de leur horaire chargé ou pour une autre raison. Consultez respectueusement les consultations - ne cinglez pas qui n'est pas nécessaire.

Comment trouver des réponses à toutes vos questions?

Eh bien, je l'ai fait avant, je le fais maintenant et je le ferai à l'avenir. J'utilise Google. (vous pouvez utiliser d'autres moteurs de recherche: P)

Compétences techniques de base pour un débutant

Je suppose que vous avez une compréhension de base du fonctionnement de tout sur Internet. Il y a beaucoup de choses que vous devez apprendre, mais je ne peux pas toutes les énumérer ici. Je ne citerai que quelques sujets importants et vous apprendrez le reste vous-même.

Protocole HTTP - modèle TCP / IP
Linux - Invite de commandes
Technologies d'application Web
Compétences de base en réseautage

Obtenez les compétences de base de HTML, PHP, Javascript - Ce n'est que le début, car la liste ne finira jamais, et cela dépend de vos intérêts personnels. Vous formez en quelque sorte un intérêt en fonction de vos besoins.

Il est également très important de se faire une idée des différents types de vulnérabilités le plus rapidement possible. Pour ce faire, j'ai ajouté la section "Principes de base de la sécurité des applications Web".

Sélection du chemin

Choisir le bon chemin dans le domaine de la prime aux bogues est très important, et cela dépendra complètement de vos intérêts, mais beaucoup de gars choisissent de commencer par des applications Web pour eux-mêmes, et je pense moi-même que ce chemin est le plus simple.

Test de sécurité des applications Web.
Tests de sécurité des applications mobiles.

Cependant, ne vous limitez pas à ces deux points. Je le répète, c'est une question d'intérêt.

Bases de la sécurité des applications Web
OWASP TOP-10 2010
OWASP TOP-10 2013
OWASP TOP-10 pour 2017

Commencez en 2010 pour comprendre quelles étaient les vulnérabilités les plus importantes cette année-là, suivez ce qui leur est arrivé en 2017. Vous le réalisez en les étudiant et en vous entraînant.

Guide de test OWASP V4

Vous n'avez pas besoin d'apprendre ce guide de test et d'aller immédiatement au travail, vous devez commencer à travailler sur des objectifs vivants (légaux), car c'est la seule façon d'améliorer vos compétences.

Test de sécurité des applications mobiles

Une fois que vous obtenez plus d'expérience, vous pouvez librement basculer entre les domaines que vous aimez le plus.

Vulnérabilités des applications mobiles OWASP TOP-10

Il y a un arrêt à faire sur la route de la sécurité des applications mobiles:

Sécurité des applications mobiles Wikipedia par Aditya Agrawal .
Application Security Wikipedia également d'Aditya Agrawal

Livres auxquels je me réfère périodiquement

Chaînes YouTube et listes de lecture

Conférences à surveiller

Akhil George - a créé une liste de lecture de bug bounty sur Youtube.

Comment filmer le Web par Jason Haddix

Pratique! Pratique! Pratique!

Il est très important d'être conscient des nouvelles vulnérabilités. Lorsque vous jouez avec l'obtention d'informations du serveur, suivez les informations sur les exploits accessibles au public pour intensifier l'attaque.

Vous pouvez commencer à travailler avec des applications présentant des vulnérabilités.

En faisant des tests de sécurité en laboratoire, j'ai écrit plusieurs articles sur mon blog, vous pouvez les trouver ci-dessous:

.
Les plates-formes pour Bug Bounty sont un excellent endroit où vous pouvez tester vos compétences. Ne vous découragez pas si cela ne fonctionne pas tout de suite, vous apprenez toujours et une récompense telle que l'expérience est beaucoup plus importante.

Hackerone
Bugcrowd
Synack
Hackenproof
Intigriti
Bountyfactory
Bugbounty japon
Antihack

Hashtags Twitter à suivre:

#bugbounty
#bugbountytips
#infosec
#togetherwehitharder

Outils que vous devez maîtriser (* outil)

Suite Burp

Pour commencer, entraînez-vous à utiliser la version gratuite de Burp Suite ou l'édition communautaire pour commencer à travailler sur les programmes de bug bounty, et dès qu'il commence à fonctionner, soyez généreux et achetez l'édition Burp Suite Professional. Vous ne le regretterez pas.

Remarque : N'utilisez pas la version piratée de Burp Suite Professional, respectez le travail effectué par l'équipe Portswigger .

Il existe de nombreuses sources ouvertes où vous pouvez en savoir plus sur Burp Suite pro, mais elles ne vous aideront que si vous décidez d'investir un peu d'argent dans votre passe-temps. Je peux recommander les sources suivantes:

Cours en ligne Pranav Hivarekar - Maîtrise de la suite Burp
Notions de base sur Burp Suite par Akash Mahajan

Pour aider à la collecte d'informations et au renseignement sur le terrain, j'ai écrit un autre article sur ce sujet sur mon blog.

Bug Bounty et santé mentale

La zone Bug Bounty est étroitement liée au stress, vous devez donc prendre soin de votre santé physique et mentale, ce qui est très important. Le reste n'a pas d'importance. Mon bon ami Nathan a écrit un excellent article sur ce sujet .

Vous devriez certainement le lire.

Blogs à lire

Il existe d'autres blogs sympas en plus de ceux-ci, je ne peux pas tout énumérer, vous pouvez les trouver vous-même dès que vous vous intéressez à ce problème.

Regardez des gars sympas sur github

Michael Henriksen
Michael Skelton
Ice3man
Ben sadeghipour
Tom Hudson
Ahmed aboul-ela
Mauro soria
Gianni amato
Jeff foley
Gwendal le coguic

Envisagez de leur donner une petite partie de votre récompense de bogue réussie pour soutenir leurs projets open source, ou vous pouvez les aider à développer leurs projets. Bien sûr, ce n'est que s'ils acceptent un soutien financier.

Suivez les membres actifs de Bug Bounty sur Twitter

Frans rosén
Mathias karlsson
dawgyg
Olivier mendie
Jobert abma
STÖK
Gerben javado
Tanner
Ben sadeghipour
Yassine aboukir
Geekboy
Patrik Fehrenbach
Ed
x1m
Nathan
Th3g3nt3lman
Uranium238
Santiago lopez
Rahul maini
Bret buerhaus
Jaiswal dur
Paresh
Joel margolis
Abdullah hussam
zseano
Ron chan
Parth malhotra
Prateek tiwari
Pranav hivarekar
Jigar thakkar
nikhil
Rishiraj sharma
pwnmachine
Taureau
naffy | leader d'opinion
shubs
Inti de ceukelaire
Artem
Bhavuk jain
Avinash jain
Emad Shanab
Ebrahim hegazy
Yasser ali
Akhil reni
ak1t4
mongo
Arbaz hussain

Et beaucoup d'autres gars, mais je ne peux pas non plus tout ajouter.

Remerciements

Merci à Prateek Tiwari , Rishiraj Sharma et Geekboy pour leur aide dans l'édition de cet article!

A très bientôt!

C’est tout. Et nous invitons tout le monde à un webinaire gratuit sur le thème: "Sécurité (in) des applications: chasse aux bogues" .

Comment démarrer avec Bug Bounty