Geekly articles weekly

Como começar com o Bug Bounty

Amigos, este mês, a Otus lança o recrutamento para um novo curso - “Application Security” . Antes do início do curso, tradicionalmente preparamos uma tradução de material útil para você.



Como iniciar o Bug Bounty? Essa pergunta é muito comum e continuo recebendo-a em mensagens dia a dia. Como não consigo responder todas as mensagens, resolvi escrever um artigo e enviar todos os iniciantes para lê-lo.

Eu pratico Bug Bounty há cinco anos. No entanto, há muitas coisas que eu não sei, e eu mesmo não sou especialista, portanto, não considere este artigo como um conselho de um especialista. Vou compartilhar o que consegui nos últimos 5 anos, melhorando minhas habilidades todos os dias.

1. Introdução


Eu vi muitas pessoas na comunidade Bug Bounty dizendo: "Eu não sou um técnico, por isso não sou muito bom em fazer Bug Bounty".

De fato, é um equívoco que apenas alguém da esfera do computador possa ser um bom especialista em Bug Bounty. Se você está familiarizado com a ciência da computação, isso certamente ajudará, mas não é necessário, você mesmo poderá aprender o básico. No entanto, se você não possui formação técnica, deve lidar apenas com a recompensa de bugs se estiver mais interessado em aprender sobre segurança da informação em vez de ganhar dinheiro.

Pela educação, pertenço ao campo da engenharia mecânica, mas estava interessado em segurança da informação na escola; no entanto, fui buscar educação em engenharia mecânica seguindo os conselhos de minha família, mas sempre me concentrei em segurança da informação.

Posso contar muitas histórias sobre como as pessoas da esfera não técnica obtêm sucesso no campo da segurança da informação e da recompensa de bugs.

No entanto, todos eles possuíam qualidades comuns, a saber, "interesse" e vontade de se envolver em "trabalho duro".

Se você pensa que terá sucesso em uma noite, uma semana ou um mês, não é isso que você deve fazer. Há muita concorrência na recompensa de insetos, porque uma boa “caça aos insetos” pode levar um ano inteiro. Você deve continuar aprendendo constantemente, compartilhar experiências e praticar. Você deve ser perseguido por curiosidade, deve se esforçar para aprender algo novo e explorar esta área por conta própria. Agora, há uma quantidade muito grande de conteúdo educacional gratuito.

Não pague as pessoas que dizem que farão de você um especialista em recompensas por insetos em uma noite. A maioria deles são golpistas.

Abaixo estão as informações que você precisa saber antes de começar com a segurança das informações.

Ninguém pode lhe contar tudo sobre essa área, o estudo é um longo caminho, você deve seguir sozinho, usando a ajuda de outras pessoas.

"Não espere que todos o tragam em um prato com uma borda azul."

Como fazer perguntas?


Ao fazer uma pergunta técnica a alguém, faça-o com toda a responsabilidade.
Você não deve fazer perguntas como: "Aqui está o ponto final. Você pode contornar o filtro XSS para mim?"

Você deve fazer perguntas essencialmente - isso é tudo.
E não espere que as pessoas possam responder à sua pergunta em alguns minutos. Eles responderão assim que tiverem tempo livre, ou talvez não atendam a você por causa de sua agenda lotada ou por algum outro motivo. Consulte respeitosamente as consultas - não faça ping em quem não é necessário.

Como encontrar respostas para todas as suas perguntas?


Bem, eu fiz isso antes, fazendo agora e vou fazer no futuro. Eu estou usando o google (você pode usar outros mecanismos de pesquisa: P)

Habilidades técnicas básicas para iniciantes


Presumo que você tenha um entendimento básico de como tudo funciona na Internet. Você precisa aprender muitas coisas, mas não posso listá-las aqui. Vou listar apenas alguns tópicos importantes e você aprenderá o resto.

Protocolo HTTP - Modelo TCP / IP
Linux - Prompt de Comando
Tecnologias de Aplicação Web
Habilidades básicas de rede

Obtenha as habilidades básicas de HTML, PHP, Javascript - este é apenas o começo, porque a lista nunca termina e depende de seus interesses pessoais. De alguma forma, você forma um interesse de acordo com suas necessidades.

Também é muito importante ter uma idéia dos vários tipos de vulnerabilidades o mais rápido possível. Para fazer isso, adicionei a seção "Fundamentos de segurança de aplicativos da Web".

Seleção de caminho


Escolher o caminho certo no campo da recompensa de bugs é muito importante e dependerá completamente dos seus interesses, mas muitos indivíduos optam por começar com aplicativos da Web para si mesmos, e eu mesmo acho que esse caminho é o mais fácil.

  1. Teste de segurança de aplicativos da Web.
  2. Teste de segurança de aplicativos móveis.


No entanto, não se limite a esses dois pontos. Repito, isso é uma questão de interesse.

Noções básicas de segurança de aplicativos da Web
TOP 10 da OWASP 2010
TOP 10 da OWASP 2013
TOP 10 da OWASP para 2017

Comece em 2010 para entender quais vulnerabilidades estavam no topo daquele ano e acompanhe o que aconteceu com elas em 2017. Você percebe isso estudando-os e praticando.

Guia de teste do OWASP V4

Você não precisa aprender este guia de teste e imediatamente começar a trabalhar, precisa começar a trabalhar em metas (legais) de vida, porque esta é a única maneira de melhorar suas habilidades.

Teste de segurança de aplicativos móveis

Depois de obter mais experiência, você pode alternar livremente entre as áreas de que mais gosta.

As 10 principais vulnerabilidades de aplicativos móveis da OWASP

Há uma parada a ser feita no caminho para a segurança de aplicativos móveis:

Wikipedia sobre segurança de aplicativos móveis por Aditya Agrawal .
Wikipedia sobre segurança de aplicativos também da Aditya Agrawal

Livros aos quais me refiro periodicamente


  1. Manual do Hacker de Aplicativos Web
  2. Dominando o Teste de Penetração na Web Moderna
  3. O Manual do Hacker 1, 2 e 3
  4. O Manual do Hacker de Aplicativos Móveis
  5. Invadindo a segurança da informação
  6. Web hackers 101


Canais e listas de reprodução do YouTube


  1. Ipsec
  2. Liveoverflow
  3. Tutoriais de desenvolvimento da Web


Conferências que você deve assistir


Akhil George - criou uma lista de reprodução de bugs no YouTube.



Como atirar na Web por Jason Haddix









Prática! Prática! Prática!


É muito importante estar ciente das novas vulnerabilidades. Ao jogar para obter informações do servidor, siga as informações sobre explorações publicamente disponíveis para escalar o ataque.

Você pode começar a trabalhar com aplicativos com vulnerabilidades.

  1. Hackerone
  2. Notas do condado de Bug
  3. Pentesterlab
  4. Hackthebox
  5. Aplicativo Web Vulnerável
  6. Jogo XSS do Google
  7. Vulnhub
  8. Me hackear


Enquanto fazia testes de segurança de laboratório, escrevi vários artigos no meu blog, você pode encontrá-los abaixo:


.
Plataformas para Bug Bounty é um ótimo lugar onde você pode testar suas habilidades. Não desanime se não der certo imediatamente, você ainda está aprendendo e uma recompensa como a experiência é muito mais importante.

Hackerone
Bugcrowd
Synack
Hackenproof
Intigriti
Bountyfactory
Bugbounty japan
Antihack

Hashtags do Twitter que você deve seguir:

#bugbounty
#bugbountytips
#infosec
#togetherwehitharder

Ferramentas que você precisa dominar (* ferramenta)


Burp suite

Para começar, pratique o uso da versão gratuita do Burp Suite ou da versão da comunidade para começar a trabalhar em programas de recompensas por bugs e, assim que começar a funcionar, seja generoso e compre a edição Burp Suite Professional. Você não vai se arrepender.

Nota : Não use a versão pirata do Burp Suite Professional, respeite o trabalho que a equipe do Portswigger faz .

Existem muitas fontes abertas nas quais você pode aprender mais sobre o Burp Suite pro, mas elas o ajudarão apenas se você decidir investir um pouco de dinheiro em seu hobby. Posso recomendar as seguintes fontes:

Curso Online Pranav Hivarekar - Domínio do Burp Suite
Burp Suite Basics por Akash Mahajan

Para ajudar na coleta de informações e na inteligência de campo, escrevi outro artigo sobre esse tópico no meu blog.

Recompensa de insetos e saúde mental


A área de Bug Bounty está intimamente relacionada ao estresse, portanto, você deve cuidar da sua saúde física e mental, o que é muito importante. O resto não importa. Meu bom amigo Nathan escreveu um ótimo post sobre esse assunto .

Você definitivamente deveria ler.

Blogs que valem a pena ser lidos



Existem outros blogs legais além desses, não consigo listar tudo, você mesmo pode encontrá-los assim que se interessar por esse problema.

Assista caras legais no github


Michael henriksen
Michael Skelton
Ice3man
Ben sadeghipour
Tom hudson
Ahmed aboul-ela
Mauro soria
Gianni amato
Jeff foley
Gwendal le coguic

Considere doar uma pequena parte de sua recompensa bem-sucedida em recompensa de bugs para apoiar seus projetos de código aberto, ou você pode ajudá-los a desenvolver seus projetos. Claro, isso é apenas se eles aceitam apoio financeiro.

Siga membros ativos do Bug Bounty no Twitter


Frans rosén
Mathias karlsson
dawgyg
Olivier implora
Jobert abma
STÖK
Gerben javado
Tanner
Ben sadeghipour
Yassine aboukir
Geekboy
Patrik Fehrenbach
Ed
x1m
Nathan
Th3g3nt3lman
Urânio238
Santiago lopez
Rahul maini
Bret buerhaus
Haish jaiswal
Paresh
Joel margolis
Abdullah hussam
zseano
Ron chan
Parth malhotra
Prateek tiwari
Pranav hivarekar
Jigar thakkar
Nikhil
Rishiraj sharma
pwnmachine
Touro
narciso | líder de pensamento
shubs
Inti de ceukelaire
Artem
Bhavuk jain
Avinash jain
Emad Shanab
Ebrahim hegazy
Yasser ali
Akhil reni
ak1t4
mongo
Arbaz hussain

E muitos outros caras, mas também não consigo adicionar tudo.

Agradecimentos


Agradecemos a Prateek Tiwari , Rishiraj Sharma e Geekboy por ajudarem na edição deste artigo!

Até breve!

Só isso. E convidamos todos a um seminário on- line gratuito sobre o tema: "(In) segurança de aplicativos: procurando bugs" .

Source: https://habr.com/ru/post/pt480822/

More articles:


All Articles