💎 💋 ✨ Cara memulai dengan Bug Bounty 🙌🏿 🤙🏿 🚴🏻

Teman-teman, bulan ini Otus meluncurkan rekrutmen untuk kursus baru - "Keamanan Aplikasi" . Untuk mengantisipasi dimulainya kursus, kami secara tradisional menyiapkan terjemahan materi yang bermanfaat untuk Anda.

Bagaimana cara memulai Bug Bounty? Pertanyaan ini sangat umum, dan saya terus menerimanya dalam pesan hari demi hari. Saya tidak bisa menjawab setiap pesan, jadi saya memutuskan untuk menulis artikel dan mengirim semua pemula untuk membacanya.

Saya telah melakukan Bug Bounty selama lima tahun sekarang. Namun, ada banyak hal yang saya tidak tahu, dan saya sendiri bukan ahli, jadi tolong jangan menganggap artikel ini sebagai saran dari seorang ahli. Saya hanya akan membagikan apa yang telah saya capai selama 5 tahun terakhir, meningkatkan keterampilan saya setiap hari.

Pendahuluan

Saya melihat banyak orang di komunitas Bug Bounty berkata, "Saya bukan teknisi, jadi saya tidak terlalu pandai Bug Bounty."

Bahkan, itu adalah kesalahpahaman bahwa hanya seseorang dari lingkungan komputer yang bisa menjadi spesialis yang baik dalam Bug Bounty. Jika Anda terbiasa dengan ilmu komputer, ini pasti akan membantu, tetapi itu tidak perlu, Anda dapat sepenuhnya mempelajari dasar-dasarnya. Namun, jika Anda tidak memiliki latar belakang teknis, Anda hanya harus berurusan dengan bug bug jika Anda lebih tertarik untuk belajar tentang keamanan informasi daripada menghasilkan uang.

Berdasarkan pendidikan, saya termasuk dalam bidang teknik mesin, tetapi saya tertarik pada keamanan informasi dari sekolah, namun, saya pergi untuk mendapatkan pendidikan teknik mesin berdasarkan saran keluarga saya, tetapi saya selalu fokus pada keamanan informasi.

Saya dapat menceritakan banyak kisah tentang bagaimana orang-orang dari bidang non-teknis mencapai kesuksesan di bidang keamanan informasi dan karunia bug.

Namun, mereka semua memiliki kualitas yang sama, yaitu "minat" dan keinginan untuk terlibat dalam "kerja keras".

Jika Anda berpikir bahwa Anda akan berhasil dalam satu malam, satu minggu atau satu bulan, maka ini bukan yang harus Anda lakukan. Ada banyak kompetisi dalam karunia bug, karena “perburuan bug” yang baik bisa memakan waktu satu tahun penuh. Anda harus terus belajar, berbagi pengalaman, dan berlatih. Anda harus dikejar oleh rasa ingin tahu, Anda harus berusaha untuk mempelajari sesuatu yang baru dan menjelajahi daerah ini sendiri. Sekarang ada konten pendidikan gratis yang sangat besar.

Jangan membayar orang yang mengatakan bahwa mereka akan menjadikan Anda spesialis bug bounty dalam satu malam. Kebanyakan dari mereka adalah scammers.

Di bawah ini adalah hal-hal yang perlu Anda ketahui sebelum memulai dengan keamanan informasi.

Tidak ada yang bisa memberi tahu Anda semua tentang bidang ini, belajar adalah cara yang jauh bahwa Anda harus melakukannya sendiri, menggunakan bantuan orang lain.

"Jangan berharap semua orang membawamu di piring dengan perbatasan biru."

Bagaimana cara bertanya?

Saat mengajukan pertanyaan teknis kepada seseorang, lakukan dengan semua tanggung jawab.
Anda seharusnya tidak mengajukan pertanyaan seperti: "Inilah titik akhirnya, bisakah Anda menyiasati filter XSS untuk saya?"

Anda harus mengajukan pertanyaan pada dasarnya - itu saja.
Dan jangan berharap orang dapat menjawab pertanyaan Anda dalam beberapa menit. Mereka akan menjawab segera setelah mereka memiliki waktu luang, atau mereka mungkin tidak menjawab Anda sama sekali karena jadwal mereka yang sibuk atau karena alasan lain. Konsultasikan dengan hormat konsultasi - jangan ping siapa yang tidak perlu.

Bagaimana menemukan jawaban untuk semua pertanyaan Anda?

Yah, saya pernah melakukannya sebelumnya, lakukan sekarang dan akan dilakukan di masa depan. Saya menggunakan google. (Anda dapat menggunakan mesin pencari lainnya: P)

Keterampilan teknis dasar untuk pemula

Saya berasumsi bahwa Anda memiliki pemahaman dasar tentang bagaimana semuanya bekerja di Internet. Ada banyak hal yang perlu Anda pelajari, tetapi saya tidak dapat mencantumkan semuanya di sini. Saya hanya akan menuliskan beberapa topik penting, dan Anda akan mempelajari sisanya sendiri.

Protokol HTTP - Model TCP / IP
Linux - Command Prompt
Teknologi Aplikasi Web
Keterampilan jaringan dasar

Dapatkan keterampilan dasar HTML, PHP, Javascript - Ini hanya permulaan, karena daftarnya tidak akan pernah berakhir, dan itu tergantung pada minat pribadi Anda. Entah bagaimana Anda membentuk minat sesuai dengan kebutuhan Anda.

Juga sangat penting untuk mendapatkan gagasan tentang berbagai jenis kerentanan secepat mungkin. Untuk melakukan ini, saya menambahkan bagian "Fundamentals Keamanan Aplikasi Web".

Pemilihan jalur

Memilih jalur yang tepat di bidang bug bug sangat penting, dan itu akan sepenuhnya tergantung pada minat Anda, namun banyak orang memilih untuk memulai dengan aplikasi web untuk diri mereka sendiri, dan saya sendiri berpikir bahwa jalur ini adalah yang termudah.

Pengujian keamanan aplikasi web.
Pengujian keamanan aplikasi seluler.

Namun, jangan membatasi diri Anda pada dua poin ini. Saya ulangi, ini masalah yang menarik.

Dasar-dasar Keamanan Aplikasi Web
OWASP TOP-10 2010
OWASP TOP-10 2013
OWASP TOP-10 untuk 2017

Mulai tahun 2010 untuk memahami kerentanan apa yang ada di puncak tahun itu, melacak apa yang terjadi pada mereka pada tahun 2017. Anda menyadari ini dengan mempelajarinya dan berlatih.

Panduan Pengujian OWASP V4

Anda tidak perlu mempelajari panduan pengujian ini dan segera mulai bekerja, Anda harus mulai bekerja pada tujuan yang hidup (legal), karena ini adalah satu-satunya cara untuk meningkatkan keterampilan Anda.

Pengujian Keamanan Aplikasi Mobile

Setelah mendapatkan lebih banyak pengalaman, Anda dapat dengan bebas beralih di antara area yang Anda sukai.

Kerentanan Aplikasi Seluler OWASP TOP-10

Ada satu perhentian untuk dilakukan di jalan menuju keamanan aplikasi seluler:

Keamanan Aplikasi Seluler Wikipedia oleh Aditya Agrawal .
Keamanan Aplikasi Wikipedia juga dari Aditya Agrawal

Buku yang saya rujuk secara berkala

Saluran dan Daftar Putar Youtube

Konferensi yang harus Anda tonton

Akhil George - membuat daftar lagu bug bounty di Youtube.

How to Shot Web oleh Jason Haddix

Berlatih! Berlatih! Berlatih!

Sangat penting untuk menyadari kerentanan baru. Saat bermain dengan mendapatkan informasi dari server, ikuti informasi tentang eksploitasi yang tersedia untuk umum untuk meningkatkan serangan.

Anda dapat mulai bekerja dengan aplikasi dengan kerentanan.

Saat melakukan pengujian keamanan lab, saya menulis beberapa artikel di blog saya, Anda dapat menemukannya di bawah:

.
Platform untuk Bug Bounty adalah tempat yang tepat untuk menguji kemampuan Anda. Jangan berkecil hati jika itu tidak segera berhasil, Anda masih belajar dan hadiah seperti pengalaman jauh lebih penting.

Hackerone
Bugcrowd
Synack
Anti-hack
Intigriti
Bountyfactory
Bugbounty jepang
Antihack

Tagar Twitter yang harus Anda ikuti:

#bugbounty
#bugbountytips
#infosec
#togetherwehitharder

Alat yang perlu Anda kuasai (* alat)

Suite bersendawa

Untuk memulai, berlatihlah menggunakan Burp Suite versi gratis atau edisi komunitas untuk mulai mengerjakan program karunia bug, dan segera setelah itu mulai berhasil, bermurah hati dan beli edisi Profesional Burp Suite. Anda tidak akan menyesalinya.

Catatan : Jangan gunakan versi bajakan dari Burp Suite Professional, hormati pekerjaan yang dilakukan oleh tim Portswigger .

Ada banyak sumber terbuka di mana Anda dapat mempelajari lebih lanjut tentang Burp Suite pro, tetapi mereka akan membantu Anda hanya jika Anda memutuskan untuk menginvestasikan sedikit uang dalam hobi Anda. Saya dapat merekomendasikan sumber-sumber berikut:

Kursus Online Pranav Hivarekar - Burp Suite Mastery
Dasar-Dasar Burp Suite oleh Akash Mahajan

Untuk membantu pengumpulan informasi dan intelijen lapangan, saya menulis artikel lain tentang topik ini di blog saya.

Karunia Bug dan Kesehatan Mental

Wilayah Bug Bounty terkait erat dengan stres, jadi Anda harus menjaga kesehatan fisik dan mental Anda, yang sangat penting. Sisanya tidak masalah. Teman baik saya Nathan menulis posting yang bagus tentang topik ini .

Anda pasti harus membacanya.

Blog layak dibaca

Ada blog keren lainnya selain ini, saya tidak bisa daftar semuanya, Anda sendiri dapat menemukannya segera setelah Anda tertarik dengan masalah ini.

Tonton cowok keren di github

Michael henriksen
Michael Skelton
Ice3man
Ben sadeghipour
Tom hudson
Ahmed aboul-ela
Mauro soria
Gianni amato
Jeff foley
Gwendal le coguic

Pertimbangkan menyumbang mereka sebagian kecil dari hadiah karunia bug Anda yang berhasil untuk mendukung proyek open source mereka, atau Anda dapat membantu mereka mengembangkan proyek mereka. Tentu saja, ini hanya jika mereka menerima dukungan finansial.

Ikuti anggota Bug Bounty yang aktif di Twitter

Frans rosén
Mathias karlsson
dawgyg
Olivier memohon
Jobert abma
STEK
Gerben javado
Tanner
Ben sadeghipour
Yassine aboukir
Geekboy
Patrik Fehrenbach
Ed
x1m
Nathan
Th3g3nt3lman
Uranium238
Santiago lopez
Rahul maini
Bret buerhaus
Jaiswal yang keras
Paresh
Joel margolis
Abdullah hussam
Zseano
Ron chan
Parth malhotra
Prateek tiwari
Pranav hivarekar
Jigar thakkar
nikhil
Rishiraj sharma
pwnmachine
Banteng
naffy | pemimpin pemikiran
shubs
Inti de ceukelaire
Artem
Bhavuk jain
Avinash jain
Emad Shanab
Ebrahim hegazy
Yasser ali
Akhil reni
ak1t4
mongo
Arbaz hussain

Dan banyak orang lain, tetapi saya juga tidak bisa menambahkan semua.

Ucapan Terima Kasih

Terima kasih kepada Prateek Tiwari , Rishiraj Sharma, dan Geekboy yang telah membantu mengedit artikel ini!

Sampai ketemu lagi!

Itu saja. Dan kami mengundang semua orang ke webinar gratis dengan topik: "Keamanan aplikasi (dalam): berburu bug . "

Cara memulai dengan Bug Bounty