Metodología Bug Bounty para un novato [cerrado]

3

Pregunta : una vez que me uno a un programa de recompensas de errores y empiezo a buscar errores en un sitio web, ¿cómo empiezo a buscar errores de manera eficiente?

Estoy muy familiarizado con las vulnerabilidades comunes (XSS, inyección de SQL, etc.), he leído algunos libros como the Tangled Web y Hackers Handbook , y he jugado un poco con plataformas como Web Goat y Damn Vulnerable Web App. Pero cuando realmente me parece que miro el sitio web especificado, me encuentro navegando a través del campo de entrada aleatorio y el código fuente sin mucha orientación. Siento que este es un uso muy ineficiente del tiempo y estaré dedicando esfuerzos a áreas que no son muy productivas.

¿Alguno de ustedes tiene alguna buena guía sobre cómo identificar rápidamente áreas de interés sin tener que peinar todo el sitio? He oído que los escáneres pueden ser útiles, pero la mayoría de los errores obvios revelados por los escáneres ya se han solucionado.

    
pregunta user1504547 16.04.2016 - 04:53
fuente

3 respuestas

3

Debería consultar este repositorio de github: enlace

  

¡Bienvenido! Este repositorio es un conglomerado de consejos, trucos, herramientas y análisis de datos para usar al realizar evaluaciones de seguridad de aplicaciones web, y más específicamente para la búsqueda de errores en las fuentes de errores.

Asegúrate también de revisar el video :)

    
respondido por el Techbrunch 19.04.2016 - 00:18
fuente
1

Sigo el top ten de OWASP como una línea de guía. En primer lugar, generalmente reviso todos los campos de entrada y las URL para la inyección de SQL. Entonces, voy a la fuerza bruta directorios utilizando burp suite. Compruebe XSS, etc. etc. etc.

    
respondido por el user107697 16.04.2016 - 06:32
fuente
0

1 - Sigue a los piratas informáticos en Twitter, lee, aprende y reproduce sus hacks

2: conozca las 10 principales vulnerabilidades de OWASP, aprenda y reproduzca

3 - Aprende ciencias informáticas (es decir, soy un ingeniero de software, ayuda mucho)

4 - Lea regularmente sobre infosec, manténgase actualizado

5 - Intenta encontrar errores y ganar algo de dinero (te motivará)

6 - Sea paciente, trabaje regularmente, no se dé por vencido

7 - Haz el bien, sé respetuoso y profesional con los demás

8 - Aprenda y use un sistema Unix correctamente, tome un curso y certificación en línea (gratis)

¡Salud!

    
respondido por el Tushar Sharma 12.11.2016 - 10:05
fuente

Lea otras preguntas en las etiquetas