Empezando, ¿dónde debería buscar las vulnerabilidades? ¿Grandes sitios de recompensa vs. proyectos más pequeños? [cerrado]

Question

Empezando, ¿dónde debería buscar las vulnerabilidades? ¿Grandes sitios de recompensa vs. proyectos más pequeños? [cerrado]

#1 de Ladadadada (3 votos)

0

Soy un entusiasta de la seguridad de aplicaciones web para aficionados, por lo que diría que es un nivel de conocimiento intermedio en este momento. Estoy interesado en encontrar un trabajo de tiempo completo como un comprobador de bolígrafos de la aplicación web.

Hasta ahora he estado trabajando principalmente en aplicaciones web vulnerables alojadas en máquinas virtuales localmente.

Me gustaría comenzar a realizar una investigación de vulnerabilidad real e intentar obtener algunos errores de CVE a mi nombre. Siento que, al carecer de un título o experiencia laboral directamente relevante, esto básicamente sirve como una cartera y demuestra competencia.

Mi pregunta es ¿dónde debería empezar a buscar?

¿Debo apuntar a los sitios de alto perfil que ofrecen recompensas como las que figuran en Bugcrowd?

¿O sería un mejor enfoque auditar proyectos de código abierto más pequeños y enviar mis hallazgos a sus equipos?

Mi proceso de pensamiento es que los sitios más grandes de alto perfil serán mucho más analizados, así que habrá menos posibilidades de encontrar problemas interesantes cuando no tenga tanta experiencia. Pero encontrar un error hay un problema mayor.

Para empezar, los proyectos más pequeños pueden no estar poniendo mucho trabajo en seguridad, por lo que los errores pueden ser abundantes pero no significan nada en términos de demostración de competencia y amp; en términos de una cartera para mostrar a los empleadores? (Aparte del valor aportado al proyecto al hacer que su código sea más seguro asumiendo que son receptivos a sus esfuerzos).

¿Por dónde empezaste? ¿Algún consejo sobre cómo proceder?

web-application career cve

pregunta MTLPhil 24.02.2014 - 22:57

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application career cve

Hydra https-form-post [cerrado] ¿Debo registrar contraseñas incorrectas? [duplicar]

score 3 · Answer 1

La elección entre proyectos con grandes ofertas de recompensa y proyectos pequeños sin presupuesto es cada vez menos importante. Los proyectos como programa de Recompensa de parches de Google significa que incluso los errores en GCC pueden ganarle dinero si escribe un parche para solucionar el error.

Puede ganar reconocimiento para proyectos sin programas de recompensa de errores. A modo de ejemplo, un par de Googlers comenzaron a usar su marco de trabajo para buscar errores en ffmpeg y ahora, dos años después , han tenido más de 1.000 errores de seguridad parcheados. Eligieron ffmpeg porque tenía un historial de errores de seguridad, fue fácil de probar y fue utilizado por mucha gente. También muestra que puede pasar mucho, mucho tiempo en un solo proyecto.

Pero para recibir el tipo correcto de reconocimiento, la calidad de sus informes debe ser alta. Algunas personas envían muchos informes y obtienen muchos CVE , pero los responsables de la base de datos de vulnerabilidades odian que se reciba un nuevo informe porque Es mucho trabajo extraer la verdad del informe.

El mejor consejo que puedo dar para comenzar es encontrar un proyecto en el que disfrutes trabajar y saber que está escrito en un idioma que conoces bien o que tiene una clase de errores que conoces bien (como XSS o corrupción de memoria) . De esa manera, todo su enfoque puede ser aprender las nuevas herramientas y aprender el proceso de la base de datos de vulnerabilidades en lugar de aprender un nuevo proyecto y lenguaje de programación.

Encontrar un proyecto con un historial de errores de seguridad es una buena idea si puedes administrarlo. La teoría es que, aunque ya se han solucionado muchos errores, aún quedan muchos más por descubrir porque los desarrolladores no son buenos en las prácticas de codificación segura. Los proyectos donde los desarrolladores son buenos en la codificación segura simplemente no tienen tantos errores de seguridad que encontrar.

Más tarde, una vez que esté bien fundamentado en todas esas cosas nuevas, puede ser un buen momento para expandirse a nuevos idiomas y nuevos proyectos.

Acabo de pensar en una interesante clase de aplicaciones que se ajustan a varios de los criterios anteriores. Una nueva aplicación para teléfonos con un número infinito de entradas, una curva de crecimiento exponencial y un historial de fallas de seguridad que una gran empresa acaba de adquirir por una gran empresa con un programa de recompensas por errores existente. Sí, WhatsApp . Aunque cualquier aplicación de teléfono ridículamente popular que realice acceso a la red sería un buen candidato para fuzzing, por lo que Candy Crush Saga, Flappy Wings, Splashy Fish, Telegram, Threema, etc. son todos buenos candidatos.