.png)
3 years ago
536 BOOK THIS SPACE FOR AD
ARTICLE AD
Bug Bounty, ou caçador de bugs, nada mais é que uma pessoa que “caça” bugs de segurança em sistemas já disponibilizados na web.
Para quem é tester/analista de qualidade irá se dar bem, pois já trabalham com isso no dia a dia. Única diferença é que o tester/analista de qualidade explora vários tipos de testes.
Após se cadastrar em alguma plataforma da sua preferencia, para iniciar sua primeira caçada, indico que siga esses passo:
Primeiro reveja o escopo;Realize o reconhecimento para encontrar alvos válidos;Encontre subdomínios por meio de várias ferramentas Sublist3, total de vírus etc.;Selecione um alvo e faça uma varredura em relação aos alvos descobertos para coletar informações adicionais (verifique o CMS, o servidor e todas as outras informações que eu preciso);Use o Google Dorks para obter informações sobre um taget específico;Revise todos os serviços, portas e aplicativos;Fuzz para erros e para expor vulnerabilidades;Vulnerabilidades de ataque para criar provas de conceito;Por fim, crie um bom relatório para comprovar.Depois da primeira caçada, você posso alterar esses passos, isso vai de você em como organizar.
Abaixo se tem uma lista de algumas plataformas que encontrei:
Bugcrowd: https://www.bugcrowd.com/Hackerone: https://www.hackerone.com/Synack: https://www.synack.com/Japan Bug Bounty Program: https://bugbounty.jp/Cobalt: https://cobalt.io/Zerocopter: https://zerocopter.com/Hackenproof: https://hackenproof.com/BountyFactory: https://bountyfactory.ioIntigriti: https://www.intigriti.com/Plug Bounty: https://www.plugbounty.com/Open Bug Bounty: https://www.openbugbounty.org/Bug Bounty Programs List: https://www.bugcrowd.com/bug-bounty-list/AntiHack: https://www.antihack.me/Cyber Army ID: https://cyberarmy.idRedstorm.io: https://www.redstorm.io/Lapor Bug ID: https://laporbug.id/Retas ID: https://retas.id/
Depois que você tem o cadastro em uma plataforma, escolhe um escopo que a empresa coloca e realize ele. Sempre nos escopos tem o nível, sendo baixo, médio e alto. O valor varia conforme os níveis.
Se a empresa aceitar seu relatório, ela irá pagar. Caso contrário, ela só irá olhar o seu relatório e não achar relevante, não irá pagar.
Então, seja criativo e chame a atenção da empresa com a escrita do relatório.
Separei algumas ferramentas:
NmapBurp SuiteWp-scanKali LinuxNavegador (browser)Irei realizar um outro post com detalhes de cada ferramenta e explorando outras também.
No começo, você pode realizar seus reports com testes simples, sem muito conhecimento de programação.
Mas conforme vai explorando e se quiser viver disso é importante que tenha alguns conhecimentos, como:
Programação web;Segurança;Alguns conceitos de redes;FIM!
Gostou? Dê aplausos para que este post apareça para mais pessoas.
Obrigada pelo apoio!
Bengali (Bangladesh) · 
English (United States) ·