¿Cómo trabajar efectivamente para ganar recompensas?

8

Realmente quiero probarme a mí mismo (a mis padres) ganando una recompensa de errores adecuada

  

¿Cómo debería prepararme mejor para esto y realmente encontrar errores?

     

Editar Entonces, ¿alguien puede proporcionar algunos sitios web que pueda leer que me ayuden a entender mejor cómo ganar y qué materiales de capacitación gratuitos son útiles? Ya estoy trabajando a través de pentesterlab.

He buscado las vulnerabilidades más comunes de OWASP, como XSS, inyección de SQL, inclusión de PHP, CSRF, divulgación de errores. He estudiado cada uno de estos y entiendo cómo ocurren y cómo demostrarlos.

He intentado auditar muchas líneas de código fuente de proyectos de código abierto en busca de partes que no hayan escapado correctamente de la información del usuario u otras cosas importantes. También intenté hacer pruebas de caja negra para cosas como XSS en sitios organizados (los alojados de forma independiente del servidor de producción en uso, con el propósito de realizar pruebas), pero realmente no ha aparecido nada. También he leído las reseñas de los errores que otras personas encontraron.

Entiendo que parte del problema es que hay personas con años de experiencia que encontrarán las cosas primero. Y también hay personas (como investigadores) con un conocimiento mucho más profundo en áreas específicas.

Pero aun así, creo que debería poder hacer una contribución positiva si trabajo duro, por lo que agradecería cualquier orientación

    
pregunta emberfang 05.06.2014 - 00:45
fuente

3 respuestas

11

El hecho de que esté intentando "probar" algo a alguien más confunde el proceso.

  1. Busque programas de recompensas de errores
  2. Busque el servicio más propenso a errores
  3. Usa tu conocimiento para encontrar un error

Si intenta ver los principales productos / servicios, apunta demasiado alto. Elige algo pequeño y se pasa por alto.

    
respondido por el schroeder 05.06.2014 - 00:56
fuente
7

Con mi experiencia de recompensas de errores, sugeriría ciertas cosas que ayudarían y facilitarían la tarea:

1) Si el sitio web que está probando tiene subdominios, vaya primero a los primeros ya que el dominio principal del sitio web es el primero que intentan muchos.

2) No utilice herramientas automatizadas ya que muchos de los resultados son falsos positivos y esos errores tienen una alta probabilidad de que ya se informen.

3) No vaya directamente a la inyección de SQL o XSS, ya que son los errores más comunes y todos los intentan. En su lugar, elija las fallas de la lógica de negocios que son igualmente importantes y requieren menos tiempo.

4) Por último, pero no menos importante, debes tener paciencia. No salte de un sitio web a otro sin probar uno completamente. Aprenda nuevas metodologías de explotación y pruébelas, ya que le ayudará a aumentar su conocimiento, también.

En lo que respecta a la práctica, hay muchos sitios web como hackthissite.org, hax.tor disponible para practicar y también hay máquinas virtuales como DVWA, Mutillidae.

Todo lo mejor.

PD: concéntrate más en obtener conocimiento que en ganar recompensas, seguramente lo lograrás

    
respondido por el paU1i 02.04.2015 - 15:41
fuente
1
  1. Sigue a los hackers en Twitter, lee, aprende y reproduce sus hacks. (Esta es la mejor solución de su problema)
  2. Conozca las 10 principales vulnerabilidades de OWASP, aprenda y reproduzca.
  3. Aprende ciencias informáticas (es decir, soy un ingeniero de software, ayuda mucho).
  4. Lea regularmente sobre infosec, manténgase actualizado.
  5. Intenta encontrar errores y ganar algo de dinero (te motivará).
  6. Manténgase paciente, trabaje regularmente, no se rinda.
  7. Haz el bien, sé respetuoso y profesional con los demás
  8. Aprenda y use un sistema UNIX.

HappyHacking;)

    
respondido por el Tushar Sharma 12.11.2016 - 10:00
fuente

Lea otras preguntas en las etiquetas