¿Cómo empezar con Bug Bounty?

Posted on by Rudeus Greyrat

Los programas Bug Bounty son una excelente manera para que las empresas agreguen una capa de protección a sus activos en línea. Un programa de recompensas por errores es un programa de prueba de penetración colaborativo que recompensa por encontrar errores de seguridad y formas de explotarlos. Para los investigadores o profesionales de la ciberseguridad, es una excelente manera de probar sus habilidades en una variedad de objetivos y recibir un buen pago en caso de que encuentren algunas vulnerabilidades de seguridad. El número de empresas que tienen un programa formal de colaboración abierta está aumentando, al igual que las personas que quieren convertirse en probadores de penetración independientes. Los aspirantes a cazarrecompensas de insectos tienen conocimientos, experiencias y niveles de habilidad muy diferentes. 
 

How-to-Get-Started-With-Bug-Bounty

Algunos son completamente nuevos en la idea del desarrollo web con poca experiencia previa en programación, algunos son desarrolladores web experimentados sin experiencia en ciberseguridad, mientras que otros son profesionales altamente calificados en ciberseguridad. Los pasos que se deben tomar son los mismos para todos, sin embargo, uno puede omitir uno o más pasos según sus habilidades y experiencia. 

Comencemos con estos pasos:

1. Aprenda redes informáticas: 

Un conocimiento decente de redes informáticas es muy necesario para comenzar con la recompensa de errores. Aunque no es necesario que tenga experiencia en el dominio de redes informáticas para comenzar con la recompensa de errores, pero debe ser competente al menos con los fundamentos de interconexión de redes, direcciones IP, direcciones MAC, pila OSI (y pila TCP/IP). ), etc. Puede aprenderlo de algunos de los recursos en línea de calidad como GeeksforGeeks Computer Networks .

2. Familiarícese con las tecnologías web: esto incluye obtener una comprensión básica de la programación web y los protocolos web. Los lenguajes de programación web son JavaScript , HTML y CSS . Un dominio de nivel principiante a intermedio con estos idiomas es más que suficiente al principio. Los protocolos sobre los que debe aprender son HTTP, FTP, TLS, etc. Estos se pueden aprender de los RFC correspondientes o de numerosos recursos fuera de línea o en línea disponibles en la web. 

3. Aprender medidas de seguridad de aplicaciones web y técnicas de piratería: esto incluirá aprender sobre mecanismos de seguridad comunes, prácticas de seguridad, sus desvíos, vulnerabilidades comunes en aplicaciones web, formas de encontrar estas vulnerabilidades y formas de parchear y prevenir las aplicaciones de estas vulnerabilidades. Los recursos útiles son: 

  • Libros recomendados:
    • Manual del hacker de aplicaciones web
    • Dominar las pruebas de penetración de aplicaciones web modernas
    • Hackeo web 101

4. Practicar y pulir sus habilidades: La práctica ayuda a desarrollar un marco para acercarse a un objetivo. Cuanto más practique con diversos objetivos de diferentes niveles de dificultad, más fácil le resultará abordar una aplicación web de una manera que aumente sus posibilidades de encontrar una vulnerabilidad crítica (o incluso encontrar una vulnerabilidad si la aplicación está bien protegida y ha sido ya probado por muchos cazadores). Intente hacer un gran uso de estos recursos: 

  • Aplicaciones web vulnerables: son máquinas virtuales o paquetes de aplicaciones web intencionalmente vulnerables. Las aplicaciones web vulnerables están disponibles como variantes generales que contienen muchos tipos de vulnerabilidades y como variantes dedicadas que se enfocan en una sola vulnerabilidad y sus sutilezas. Algunos ejemplos son: 
    • BWapp
    • DVWA
    • Cabra web de OWASP
    • Transferencias de ciclones
    • Ladrillos
    • Proyecto de Seguridad Mariposa
    • hacme
    • Tienda de jugos
    • Rieles Cabra
    • SQLol
  • BWapp, DVWA (Maldita aplicación web vulnerable) y Webgoat son los mejores para principiantes.

5. Prueba de objetivos reales: después de que hayas terminado con los conceptos básicos y tengas un nivel de habilidad decente, puedes comenzar a cazar en sitios web reales. Muchos sitios web ejecutan programas de recompensas por errores para sus activos web. Algunos nombres importantes son: 

  • Facebook
  • Gorjeo
  • Google
  • Verizon
  • starbucks
  • Shopify
  • Spotify
  • Manzana

Estas empresas recompensan generosamente, pero encontrar un error de seguridad en cualquiera de sus activos es muy difícil debido a la dura competencia. Debe recordar que los mejores cazadores de recompensas de errores del mundo están probando estos sitios web junto con usted. Sin embargo, eso no significa que no puedas encontrar algo en absoluto. 

6. Mantenerse actualizado sobre las últimas vulnerabilidades: para esto, puede seguir a investigadores de élite y aprender de su trabajo. También puede leer informes divulgados en plataformas de recompensas por errores como HackerOne. Algunos investigadores recomendados a seguir son: 

  • Frans Rosen
  • jason haddix
  • friki
  • PortSwigger
  • Jober Abma

Debe saber que si realmente desea comenzar con la recompensa de errores, no importa cuál sea su formación académica o cuál es su dominio de trabajo actual: simplemente puede comenzar a aprender las habilidades y herramientas necesarias y comenzar a cazar. !!

Publicación traducida automáticamente

Artículo escrito por awasthi7xenextt y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *