Exploit0x00: INTRODUÇÃO AO BUG BOUNTY

E ae galera, hoje irei dar algumas dicas de como entrar nessa área de bug bounty.

Comece a ler
Existem alguns livros que você pode comprar para ajudá-lo a aprender o básico e essencial de pentest.

Introdução ao Pentest
Pentest em aplicações web
Black Hat Python

Extra: https://www.owasp.org/index.php/Top_10-2017_Top_10

Pratique o que você esta aprendendo
Enquanto você aprende, é importante ter certeza de que você também está entendendo o que aprende. Praticar em aplicativos e sistemas vulneráveis é uma ótima maneira de testar suas habilidades em ambientes simulados. Isso lhe dará uma ideia do que você enfrentará no mundo real.

Hacksplaining

Penetration Testing Practice Labs

Leia as anotações técnicas e os POCs (Proof of Concepts) de outros hackers e assista aos tutoriais no YouTube!
Agora que você tem uma compreensão básica sobre como encontrar e explorar vulnerabilidades de segurança, é hora de começar a conferir o que outros hackers estão enfrentando. Por sorte, a comunidade de segurança é bastante generosa em compartilhar conhecimento.

Bug Bounty write-ups and POCs

Bug Hunting Tutorials

/r/Netsec on Reddit

JackkTutorials on YouTube

DEFCON Conference videos on YouTube

Hak5 on YouTube

Awesome-Infosec

Reúna seu arsenal de ferramentas

Ferramentas não te transformam em hacker, mas certamente são úteis! O Bugcrowd selecionou uma extensa lista de ferramentas:

Bugcrowd Researcher Resources - Tools

Comece a aprender sobre bug bounties

Ok, agora você está no ponto em que está quase na hora de começar a procurar recompensas. Mas primeiro, vamos aprender como as recompensas de bugs funcionam e como começar.

How to approach a target

How to Report a Bug

Bug Bounty Disclosure Policy

Seja hacker!
É hora de começar a hackear! Quando você é novo e está começando, é melhor não tentar invadir as recompensas de bugs mais populares por aí. Tentar hackear Tesla Motors, Facebook, Pinterest e outros provavelmente terminará em frustração para iniciantes, já que essas empresas são muito populares e são mais seguras porque recebem muitos relatórios de bugs.

Go for the Kudos only programs

Em vez disso, concentre-se em recompensas de bugs que provavelmente foram dispensadas por outros. Geralmente, esses são bounties de bugs que não pagam recompensas, mas oferecem pontos de elogios no Bugcrowd. Estes programas "kudos points only" são uma maneira fantástica de começar e mostrar suas habilidades para o Bugcrowd. Depois de enviar alguns bugs para o Bugcrowd, mesmo que sejam apenas pontos de recompensas, provavelmente você começará a receber convites para programas de recompensas privados. Os programas de recompensas privadas são apenas para convidados e restritos a um pequeno número de pessoas, o que significa menos concorrência e uma maior probabilidade de encontrar um bug.

Considerações finais
O hacking é uma jornada de aprendizagem ao longo da vida. Isto é o que torna esta área tão incrível! Há sempre novos artigos e palestras para aprender. Aqui estão algumas conferencias / eventos de 2018:

facebook.com/groups/fsocietybrasil/permalink/1804942113146216/

Exploit0x00

sábado, 7 de julho de 2018

INTRODUÇÃO AO BUG BOUNTY

Nenhum comentário:

Postar um comentário