- PVSM.RU - https://www.pvsm.ru -

Как начать заниматься Bug Bounty

Друзья, в этом месяце Otus запускает набор на новый курс — «Безопасность приложений» [1]. В преддверии старта курса традиционно подготовили для вас перевод полезного материала.


Как начать заниматься Bug Bounty? Этот вопрос весьма распространенный, и я продолжаю получать его в сообщениях день ото дня. Я не могу ответить на каждое сообщение, поэтому решил написать статью и отправлять всех новичков читать ее.

Я занимаюсь Bug Bounty уже пять лет. Тем не менее, есть множество вещей, которых я не знаю, да и сам я не эксперт, поэтому прошу не считать эту статью советом от эксперта. Я просто поделюсь тем, чего достиг за последние 5 лет, совершенствуя свои навыки день ото дня.

Введение

Я видел множество людей в Bug Bounty сообществе, говорящих: «я не технарь, поэтому у меня не очень хорошо получается заниматься Bug Bounty».

На самом деле это заблуждение, что быть хорошим специалистом в Bug Bounty может только кто-то из компьютерной сферы. Если вы знакомы с информатикой, это, безусловно поможет, но это не обязательно, вы можете вполне изучить основы самостоятельно. Однако, если у вас нет технического бэкграунда, заниматься bug bounty стоит только в том случае, если вы больше заинтересованы в изучении информационной безопасности, а не в зарабатывании денег.

По образованию я отношусь к области машиностроения, но интересовался информационной безопасностью со школьной скамьи, однако пошел получать образование именно в машиностроении по совету семьи, но акцентировался я всегда на информационной безопасности.

Я могу рассказать много историй о том, как люди из нетехнической сферы добиваются успеха в области информационной безопасности и bug bounty.

Однако у всех них были общие качества, а именно «интерес» и готовность заниматься «тяжелой работой».

Если вы думаете, что добьетесь успеха за одну ночь, за неделю или за месяц, то это не то, чем вам следует заняться. В bug bounty очень большая конкуренция, ведь хорошая «охота на баг» может занять целый год. Вам следует постоянно продолжать обучение, обмениваться опытом и практиковаться. Вас должно преследовать любопытство, вы должны стремиться узнать что-то новое и исследовать эту область самостоятельно. Сейчас есть очень большое количество бесплатного образовательного контента.

Не платите людям, которые говорят, что сделают из вас специалиста в bug bounty за одну ночь. Большинство из них – мошенники.

Ниже приведены вещи, которые вы должны знать, прежде чем начать заниматься информационной безопасностью.

Никто не сможет рассказать вам все об этой области, изучение – это долгий путь, который вы должны пройти в одиночку, пользуясь помощью других людей.

«Не жди, что тебе принесут все на тарелочке с голубой каемочкой.»

Как задавать вопросы?

Задавая кому-либо технический вопрос, делайте это со всей ответственностью.
Вы не должны задавать вопросы вида: «Вот конечная точка, не мог бы ты за меня обойти фильтр XSS?»

Вы должны задавать вопросы по существу – только и всего.
А еще не ждите, что люди смогут дать ответ на ваш вопрос в течение нескольких минут. Они ответят, как только у них появится свободное время, либо же вам могут вообще не ответить из-за своего плотного графика или по какой-то другой причине. Подходите уважительно к консультациям – не пингуйте кого не нужно.

Как найти ответы на все свои вопросы?

Что ж, я делал так раньше, делаю сейчас и буду делать в будущем. Я использую Google. (вы можете использовать и другие поисковики: Р)

Базовые технические навыки для начинающего

Я предполагаю, что у вас есть базовое понимание того, как работает все в интернете. Есть множество вещей, которые вам нужно изучить, но я не могу указать их здесь все. Я перечислю лишь несколько важных тем, а остальное вы узнаете сами.

Протокол HTTP [2]Модель TCP/IP [3]
Linux – Командная строка [4]
Технологии веб-приложений [5]
Базовые сетевые навыки [6]

Получить базовые навыки HTML, PHP, Javascript [7] – Это лишь начало, поскольку список никогда не закончится, да и зависит он от ваших личных интересов. Вы так или иначе формируете интерес в соответствии со своими потребностями.

Также очень важно получить представление о различных типах уязвимостей как можно быстрее. Для этого я добавил раздел «Основы безопасности веб-приложений».

Выбор пути

Выбрать правильный путь в сфере bug bounty очень важно, и он будет полностью зависеть от ваших интересов, однако многие ребята выбирают для себя начинать с веб-приложений, да и сам я считаю, что этот путь самый простой.

  1. Тестирование безопасности веб-приложений.
  2. Тестирование безопасности мобильных приложений.

Однако не ограничивайтесь этими двумя пунктами. Повторюсь, здесь дело интереса.

Основы безопасности веб-приложений
OWASP TOP-10 за 2010 год [8]
OWASP TOP-10 за 2013 год [9]
OWASP TOP-10 за 2017 год [10]

Начните с 2010 года, чтобы понять какие уязвимости оказались в топе в том году, проследите что стало с ними в 2017 году. Вы осознаете это изучая их и практикуя.

Руководство по тестированию OWASP V4 [11]

Вам не нужно осваивать это руководство по тестированию и сразу отправляться работать, работать начинать нужно над живыми (легальными) целями, ведь это единственный способ улучшить свои навыки.

Тестирование безопасности мобильных приложений

Как только вы получите больше опыта, вы сможете свободно переключаться между сферами, которые вам больше нравятся.

OWASP TOP-10 уязвимостей мобильных приложений [12]

Есть одна остановка, которую нужно сделать на пути к безопасности мобильных приложений:

Википедия безопасности мобильных приложений [13] от Aditya Agrawal [14].
Википедия безопасности приложений [15] также от Aditya Agrawal

Книги, к которым я периодически обращаюсь

  1. Web Application Hacker’s Handbook [16]
  2. Mastering Modern Web Penetration Testing [17]
  3. The Hacker Playbook 1, 2 and 3 [18]
  4. The Mobile Application Hacker’s Handbook [19]
  5. Breaking into Information Security [20]
  6. Web Hacking 101 [21]

Каналы и плейлисты на Youtube

  1. IppSec [22]
  2. LiveOverflow [23]
  3. Web Development Tutorials [24]

Конференции, которые вам стоит посмотреть

Akhil George [25] — создал плейлист посвящённый bug bounty на Youtube.

How to Shot Web от Jason Haddix [26]

Практика! Практика! Практика!

Очень важно быть в курсе новых уязвимостей. Играясь с получением информации с сервера, следите за сведениями об общедоступных эксплойтах для эскалации атаки.

Вы можете начать работать с приложениями с уязвимостями.

  1. HackerOne [27]
  2. Bug Bounty Notes [28]
  3. Pentesterlab [29]
  4. Hackthebox [30]
  5. Damn Vulnerable Web Application [31]
  6. XSS Game от Google [32]
  7. Vulnhub [33]
  8. Hack me [34]

Делая лабораторные по проверке безопасности, я написал несколько статей в своем блоге, вы можете найти их ниже:

.
Платформы для Bug Bounty – это отличное место, где вы можете протестировать ваши навыки. Не расстраивайтесь, если не получится сразу, вы все еще учитесь и такая награда, как опыт гораздо более важна.

Hackerone [38]
Bugcrowd [39]
Synack [40]
HackenProof [41]
Intigriti [42]
Bountyfactory [43]
Bugbounty Japan [44]
Antihack [45]

Хэштеги в Twitter, на которые вам стоит подписаться:

#bugbounty
#bugbountytips
#infosec
#togetherwehitharder

Инструменты, которые вы должны освоить (*tool)

Burp Suite

Для начала практикуйтесь с помощью бесплатной версии Burp Suite или версии community edition, чтобы начать работать над программами bug bounty, а как только начнет хорошо получаться, расщедритесь и купите Burp Suite Professional edition. Вы об этом не пожалеете.

Примечание: Не используйте пиратскую версию Burp Suite Professional, уважайте работу, которую делает команда Portswigger [46].

Существует множество открытых источников, откуда можно узнать больше о Burp Suite pro, но помогут они вам только в случае, если вы решитесь инвестировать в свое хобби немного денег. Я могу порекомендовать следующие источники:

Онлайн-курс от Pranav Hivarekar [47]Burp Suite Mastery [48]
Основы Burp Suite от Akash Mahajan [49]

Чтобы помочь со сбором информации и разведкой области, я написал еще одну статью [50] на эту тему в своем блоге.

Bug Bounty и психическое здоровье

Область Bug Bounty плотно связана со стрессом, поэтому вы должны заботиться о своем физическом и моральном здоровье, что очень важно. Остальное не имеет значения. Мой хороший друг Nathan написал отличный пост на эту тему [51].

Вам обязательно стоит его прочитать.

Блоги, которые стоит читать

Есть и другие классные блоги помимо этих, я не могу перечислить все, вы сами сможете найти их, как только заинтересуетесь этим вопросом.

Наблюдайте за классными парнями на GitHub

Michael Henriksen [59]
Michael Skelton [60]
Ice3man [61]
Ben Sadeghipour [62]
Tom Hudson [63]
Ahmed Aboul-Ela [64]
Mauro Soria [65]
Gianni Amato [66]
Jeff Foley [67]
Gwendal Le Coguic [68]

Подумайте о том, чтобы пожертвовать им небольшую часть своей награды за успешную bug bounty, чтобы поддержать их открытые проекты или же вы можете помочь им в развитии их проектов. Конечно, это только в том случае, если они принимают финансовую поддержку.

Следите за активными участниками Bug Bounty в Twitter

Frans Rosén [69]
Mathias Karlsson [70]
dawgyg [71]
Olivier Beg [72]
Jobert Abma [73]
STÖK [74]
Gerben Javado [75]
Tanner [76]
Ben Sadeghipour [77]
Yassine Aboukir [78]
Geekboy [79]
Patrik Fehrenbach [80]
Ed [81]
x1m [82]
Nathan [83]
Th3G3nt3lman [84]
Uranium238 [85]
Santiago Lopez [86]
Rahul Maini [87]
Brett Buerhaus [88]
Harsh Jaiswal [89]
Paresh [90]
Joel Margolis [91]
Abdullah Hussam [92]
zseano [93]
Ron Chan [94]
Parth Malhotra [95]
Prateek Tiwari [96]
Pranav Hivarekar [47]
Jigar Thakkar [97]
nikhil [98]
Rishiraj Sharma [99]
pwnmachine [100]
Bull [101]
n a f f y | thought leader [102]
shubs [103]
Inti De Ceukelaire [104]
Artem [105]
Bhavuk Jain [106]
Avinash Jain [107]
Emad Shanab [108]
Ebrahim Hegazy [109]
Yasser Ali [110]
Akhil Reni [111]
ak1t4 [112]
mongo [113]
Arbaz Hussain [114]

И многие другие ребята, но всех я добавить также не могу.

Благодарности

Спасибо Prateek Tiwari [96], Rishiraj Sharma [99] и Geekboy [79] за то, что помогли с редактурой этой статьи!

До скорого!

На этом все. А мы приглашаем всех на бесплатный вебинар [1] по теме: "(Не)безопасность приложений: охота за ошибками".

Автор: MaxRokatansky

Источник [115]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/getting-started/340342

Ссылки в тексте:

[1] «Безопасность приложений»: https://otus.pw/UbZQ/

[2] Протокол HTTP: https://www.tutorialspoint.com/http/http_methods.htm

[3] Модель TCP/IP: https://www.geeksforgeeks.org/computer-network-tcpip-model/

[4] Командная строка: http://linuxcommand.org/

[5] Технологии веб-приложений: https://www.comentum.com/guide-to-web-application-development.html

[6] Базовые сетевые навыки: https://commotionwireless.net/docs/cck/networking/learn-networking-basics/

[7] базовые навыки HTML, PHP, Javascript: https://www.w3schools.com/

[8] OWASP TOP-10 за 2010 год: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#OWASP_Top_10_for_2010

[9] OWASP TOP-10 за 2013 год: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#OWASP_Top_10_for_2013

[10] OWASP TOP-10 за 2017 год: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

[11] Руководство по тестированию OWASP V4: https://www.owasp.org/images/1/19/OTGv4.pdf

[12] OWASP TOP-10 уязвимостей мобильных приложений: https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10

[13] Википедия безопасности мобильных приложений: https://appsecwiki.com/#/mobilesecurity

[14] Aditya Agrawal: https://twitter.com/exploitprotocol

[15] Википедия безопасности приложений: https://appsecwiki.com/#/

[16] Web Application Hacker’s Handbook: https://www.amazon.in/Web-Application-Hackers-Handbook-Exploiting/dp/8126533404

[17] Mastering Modern Web Penetration Testing: https://www.amazon.in/Mastering-Modern-Web-Penetration-Testing/dp/1785284584

[18] The Hacker Playbook 1, 2 and 3: https://www.amazon.in/Hacker-Playbook-Practical-Penetration-Testing/dp/1494932636

[19] The Mobile Application Hacker’s Handbook: https://www.amazon.in/Mobile-Application-Hackers-Handbook-MISL-WILEY/dp/8126554916

[20] Breaking into Information Security: https://leanpub.com/ltr101-breaking-into-infosec

[21] Web Hacking 101: https://leanpub.com/web-hacking-101

[22] IppSec: https://www.youtube.com/channel/UCa6eh7gCkpPo5XXUDfygQQA

[23] LiveOverflow: https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w

[24] Web Development Tutorials: https://www.youtube.com/channel/UCS0y5e-AMsZO8GEFtKBAzkA

[25] Akhil George: https://www.youtube.com/channel/UCsVp13y6_bsj56V3hSph6eg

[26] Jason Haddix: https://twitter.com/Jhaddix

[27] HackerOne: https://www.hacker101.com/

[28] Bug Bounty Notes: https://bugbountynotes.com/

[29] Pentesterlab: http://pentesterlab.com/

[30] Hackthebox: https://www.hackthebox.eu/

[31] Damn Vulnerable Web Application: http://www.dvwa.co.uk/

[32] XSS Game от Google: https://xss-game.appspot.com/

[33] Vulnhub: https://www.vulnhub.com/

[34] Hack me : https://hack.me/

[35] Basic Android Security Testing lab — 1: https://medium.com/ehsahil/basic-android-security-testing-lab-part-1-a2b87e667533?source=post_page-----7052da28445a----------------------

[36] Basic iOS Apps Security Testing lab — 1: https://medium.com/ehsahil/basic-ios-apps-security-testing-lab-1-2bf37c2a7d15?source=post_page-----7052da28445a----------------------

[37] Basic Penetration testing lab — 1: https://medium.com/ehsahil/basic-penetration-testing-lab-1-7544969cb3ac?source=post_page-----7052da28445a----------------------

[38] Hackerone: https://www.hackerone.com/

[39] Bugcrowd: https://bugcrowd.com/

[40] Synack: https://www.synack.com/

[41] HackenProof: https://hackenproof.com/

[42] Intigriti: https://www.intigriti.com/

[43] Bountyfactory: https://bountyfactory.io/

[44] Bugbounty Japan: https://bugbounty.jp/

[45] Antihack: https://www.antihack.me/

[46] Portswigger: https://portswigger.net/

[47] Pranav Hivarekar: https://twitter.com/HivarekarPranav

[48] Burp Suite Mastery: https://training.peritusinfosec.com/p/burp-suite-mastery

[49] Burp Suite от Akash Mahajan: https://www.amazon.in/Burp-Suite-Essentials-Akash-Mahajan/dp/1783550112

[50] статью: https://medium.com/ehsahil/recon-my-way-82b7e5f62e21?source=post_page-----7052da28445a----------------------

[51] пост на эту тему: https://medium.com/@nmalcolm/bug-bounties-and-mental-health-40662b2e497b?source=post_page-----7052da28445a----------------------

[52] Detectify Labs: https://labs.detectify.com/

[53] Infosec Write-Ups: https://medium.com/bugbountywriteup

[54] Appsecco: https://blog.appsecco.com/

[55] These aren't the access_tokens you're looking for: https://philippeharewood.com/

[56] Geekboy | Security Researcher: http://geekboy.ninja/

[57] Learn|Think|Hack: https://somdev.me/

[58] BUG BOUNTY HUNTING (METHODOLOGY, TOOLKIT, TIPS & TRICKS, Blogs): https://medium.com/@infosecsanyam/bug-bounty-hunting-methodology-toolkit-tips-tricks-blogs-ef6542301c65

[59] Michael Henriksen: https://github.com/michenriksen

[60] Michael Skelton: https://github.com/codingo

[61] Ice3man: https://github.com/Ice3man543

[62] Ben Sadeghipour: https://github.com/nahamsec

[63] Tom Hudson: https://github.com/tomnomnom

[64] Ahmed Aboul-Ela: https://github.com/aboul3la

[65] Mauro Soria: https://github.com/maurosoria

[66] Gianni Amato: https://github.com/guelfoweb

[67] Jeff Foley: https://github.com/caffix/

[68] Gwendal Le Coguic: https://github.com/gwen001/

[69] Frans Rosén: https://twitter.com/fransrosen

[70] Mathias Karlsson: https://twitter.com/avlidienbrunn

[71] dawgyg: https://twitter.com/thedawgyg

[72] Olivier Beg: https://twitter.com/smiegles

[73] Jobert Abma: https://twitter.com/jobertabma

[74] STÖK: https://twitter.com/stokfredrik

[75] Gerben Javado: https://twitter.com/gerben_javado

[76] Tanner: https://twitter.com/itscachemoney

[77] Ben Sadeghipour: https://twitter.com/NahamSec

[78] Yassine Aboukir: https://twitter.com/Yassineaboukir

[79] Geekboy: https://twitter.com/emgeekboy

[80] Patrik Fehrenbach: https://twitter.com/ITSecurityguard

[81] Ed: https://twitter.com/EdOverflow

[82] x1m: https://twitter.com/x1m_martijn

[83] Nathan : https://twitter.com/NathOnSecurity

[84] Th3G3nt3lman: https://twitter.com/Th3G3nt3lman

[85] Uranium238: https://twitter.com/uraniumhacker

[86] Santiago Lopez: https://twitter.com/santi_lopezz99

[87] Rahul Maini: https://twitter.com/iamnoooob

[88] Brett Buerhaus: https://twitter.com/bbuerhaus

[89] Harsh Jaiswal: https://twitter.com/rootxharsh

[90] Paresh: https://twitter.com/Paresh_parmar1

[91] Joel Margolis: https://twitter.com/0xteknogeek

[92] Abdullah Hussam: https://twitter.com/Abdulahhusam

[93] zseano: https://twitter.com/zseano

[94] Ron Chan: https://twitter.com/ngalongc

[95] Parth Malhotra: https://twitter.com/Parth_Malhotra

[96] Prateek Tiwari: https://twitter.com/prateek_0490

[97] Jigar Thakkar: https://twitter.com/jigarthakkar39

[98] nikhil: https://twitter.com/niksthehacker

[99] Rishiraj Sharma: https://twitter.com/ehrishiraj

[100] pwnmachine: https://twitter.com/princechaddha

[101] Bull: https://twitter.com/v0sx9b

[102] n a f f y | thought leader : https://twitter.com/nnwakelam

[103] shubs: https://twitter.com/infosec_au

[104] Inti De Ceukelaire: https://twitter.com/securinti

[105] Artem: https://twitter.com/mskwsky

[106] Bhavuk Jain: https://twitter.com/bhavukjain1

[107] Avinash Jain: https://twitter.com/logicbomb_1

[108] Emad Shanab: https://twitter.com/Alra3ees

[109] Ebrahim Hegazy: https://twitter.com/Zigoo0

[110] Yasser Ali: https://twitter.com/garagosy

[111] Akhil Reni: https://twitter.com/akhilreni_hs

[112] ak1t4: https://twitter.com/akita_zen

[113] mongo: https://twitter.com/mongobug

[114] Arbaz Hussain: https://twitter.com/ArbazKiraak

[115] Источник: https://habr.com/ru/post/480822/?utm_campaign=480822&utm_source=habrahabr&utm_medium=rss