Bug Bounty Program - Aprende A Buscar En grande
Bug Bounty – programa de reporte
Bug Bounty – programa de reporte
QUE ES UN BUG BOUNTY?
Bug Bounty es un conjunto de programas para hackers en que puedan capacitarse en la investigación de fallos de seguridad en empresas como “google o apple” entre otros miles de empresas digitales que buscan a estos hackers para reportar los fallos de seguridad mas conocidos y otros inesperados que funcionan como 0day.
TIPOS DE VULNERABILIDADES
Las vulnerabilidades son muy conocidas y para participar en un bug bounty muchas veces no se vale la automatización de herramientas ya que estas no suelen detectar muy bien los fallos entonces si esperas un pago de 5.000 dolares aproximadamente por un supuesto fallo que no existe pero que tu herramienta automatizada a anunciado como un “fallo grave” la empresa no tomara ya que esta ya han puesto distintas herramientas a analizar sus servidores.
Para observar el listado de sitios que se encuentra en el program visita la siguiente dirección:
Ejemplo de Apple en bug bounty program:
1) Vulnerabilidades en componentes firmware => 200.000.00 dolares
2) Extracción de información confidencial de servidores => 100.000.00 dolares
3) Ejecución de código malicioso con privilegios en kernel => 50.000.00 dolares
4) Bypass acceso a cuentas populares y servidores de apple => 50.000 dolares
5) Acceso a la mensajería de usuarios => 25.000.00 dolares
Una pagina donde puedes registrarte y recibir pagos directos en la pagina llamada “hackerone” existe una gran actividad de hackers que buscan seguridad y las empresas le agregan puntos por su desempeño y investigación sobre las vulnerabilidades de se presentan en las paginas de las empresas “https://hackerone.com/”
Categoría de Vulnerabilidades:
Categoría de Vulnerabilidades:
RFI XXE Self” XSS SQL Injection File Inclusion Missing cookie flags SSL/TLS best practices Information disclosures Mixed content warnings Denial of Service attacks Clickjacking/UI redressing Software version disclosure Account/e-mail enumeration Reflected file download attacks Incomplete or missing SPF/DKIM Physical or social engineering attacks Results of automated tools or scanners Login/logout/unauthenticated/low-impact CSRF Envenenamiento de url Remote code execution y wark mass! ...
Existen infinidad de Herramientas para automatizar las búsquedas, pero las que están en el Bug Bounty Program, en su gran mayoría ya han sido testeadas con herramientas automatizadas, por ello es importante tener lógica a la hora de Auditar, y ir probando diferentes métodos, técnicas, mejorar las técnicas, hacer uno sus propias técnicas, herramientas, hacerlo tanto manualmente como con herramientas...
Para mayor información, visita nuestra tienda...
Atte: Jey Zeta & Kelvin Parra
Greetz: z3r3f
Comentarios
Publicar un comentario