LEFT SIDEBAR AD

Hidden in mobile, Best for skyscrapers.

Bug Bounty — Tipos de programas y como escoger

1 year ago 68
BOOK THIS SPACE FOR AD
ARTICLE AD
Programas de Bug Bounty

El Bug Bounty es un programa que ofrece recompensas a los investigadores de seguridad que encuentran y reportan vulnerabilidades en software, sistemas y aplicaciones web. Estos programas son una herramienta cada vez más popular en la industria de la seguridad informática, ya que permiten a las empresas encontrar y solucionar fallos de seguridad de manera más rápida y efectiva.

Existen dos tipos principales de programas de Bug Bounty: los autogestionados y los gestionados por una plataforma.

Programas autogestionados

Los programas autogestionados son aquellos que son creados y gestionados directamente por la empresa en cuestión. En estos programas, la empresa establece su propia política de reporte de vulnerabilidades y recompensas.

Una de las principales ventajas de los programas autogestionados es que no hay intermediario entre el cliente y el investigador de seguridad, lo que significa que los informes de vulnerabilidades pueden ser tratados directamente por la empresa. Además, los programas autogestionados pueden ser más flexibles en cuanto a las políticas de recompensa y pueden ofrecer incentivos personalizados para encontrar vulnerabilidades críticas.

Podemos encontrar este tipo de programas en las propias páginas web de la empresa o si esta dispone de un archivo security.txt (https://es.wikipedia.org/wiki/Security.txt) en su dominio.

Por ejemplo en Google podemos encontrar:

security.txt: https://www.google.com/.well-known/security.txtWeb sobre como comunicar una vulnerabilidad: https://bughunters.google.com/

Programas gestionados por una plataforma

Los programas gestionados por una plataforma son aquellos que son administrados por una empresa especializada en Bug Bounty, que actúa como intermediario entre la empresa que ofrece el programa y los investigadores de seguridad. Estos programas pueden ser públicos o por invitación, y la plataforma proporciona una lista de programas disponibles para que los investigadores puedan elegir.

Hay varias ventajas en utilizar una plataforma que gestiona programas de bug bounty:

Acceso a múltiples programas: Las plataformas que gestionan programas de bug bounty ofrecen acceso a una amplia gama de programas, lo que significa que los investigadores de seguridad tienen más oportunidades de encontrar vulnerabilidades y ganar recompensas.Facilidad de uso: Las plataformas suelen tener interfaces de usuario intuitivas que facilitan la participación en los programas de bug bounty. Además, muchas plataformas ofrecen herramientas para ayudar a los investigadores de seguridad a encontrar y reportar vulnerabilidades de forma más eficiente.Mediación y arbitraje: Las plataformas actúan como intermediarios entre las empresas y los investigadores de seguridad, lo que significa que las empresas no tienen que preocuparse por tratar directamente con cientos o miles de investigadores de seguridad. Las plataformas también pueden proporcionar servicios de arbitraje en caso de desacuerdos entre las partes.Recompensas justas y estandarizadas: Las plataformas pueden proporcionar pautas claras sobre las recompensas que se ofrecen en los programas de bug bounty, lo que significa que los investigadores de seguridad saben exactamente lo que pueden esperar si encuentran una vulnerabilidad. Las plataformas también pueden ayudar a garantizar que las recompensas sean justas y estandarizadas en todos los programas.Seguridad de los datos: Las plataformas de bug bounty suelen tener medidas de seguridad en su sitio web para proteger los datos de los investigadores de seguridad y de las empresas. Esto puede incluir la encriptación de datos y la verificación de identidad.

Algunas de las plataformas más famosas son:HackerOne: Es una de las plataformas más grandes y populares para programas de Bug Bounty. Trabaja con una gran cantidad de empresas y organizaciones, incluyendo Airbnb, Shopify, Spotify, entre otros.

Bugcrowd: Otra plataforma muy popular para programas de Bug Bounty, con más de 2.000 clientes que van desde pequeñas empresas hasta grandes corporaciones como Mastercard y Fitbit.Synack: Una plataforma de seguridad que ofrece servicios de crowdsourced security testing y evaluación de vulnerabilidades. Cuenta con más de 1.500 investigadores de seguridad en su red y trabaja con clientes como the US Department of Defense.YesWeHack: Una plataforma francesa que ofrece una amplia gama de soluciones de seguridad, incluyendo programas de Bug Bounty y de divulgación responsable. Trabajan con una variedad de clientes en todo el mundo.Intigriti: Una plataforma de seguridad europea que ofrece programas de Bug Bounty y de divulgación responsable. Trabaja con clientes en diferentes sectores, como finanzas, tecnología y salud.

Los programas de bug bounty públicos son aquellos que están abiertos para todo el mundo, mientras que los programas de bug bounty por invitación son aquellos que solo son accesibles por invitación.

Conseguir invitaciones a programas cerrados depende de la empresa o la plataforma de bug bounty concreta, pero en general se consiguen mediante la mejora de la reputación, ya sea superando CTF de la propia plataforma o enviando vulnerabilidades en programas públicos.

Las recompensas que se ofrecen en los programas de Bug Bounty pueden variar ampliamente, dependiendo de la empresa y el tipo de programa. Algunas empresas ofrecen simples agradecimientos o reconocimientos públicos, mientras que otras ofrecen recompensas en forma de puntos, merchandising o incluso dinero en efectivo.

Al seleccionar un programa de Bug Bounty para participar, hay varios criterios a considerar:

1. Importancia de centrarse en un programa a la vez: Es importante centrarse en un solo programa a la vez para maximizar las posibilidades de encontrar vulnerabilidades y obtener recompensas.

2. Programa autogestionado o gestionado por una plataforma: Los programas autogestionados ofrecen una mayor flexibilidad en cuanto a las políticas de reporte y recompensas, mientras que los gestionados por una plataforma pueden ofrecer una mayor variedad de programas.

Inicialmente, puede ser más interesante escoger programas gestionados por plataformas de bug bounty, ya que tendremos más variedad de programas con acceso fácil, formaremos parte de una comunidad activa que podemos aprovechar (foros, materiales de formación, etc) y también tendremos un buen filtro de triaje realizado por personal experto.

3. Programa público o por invitación: Los programas públicos son más accesibles, pero también tienen una mayor competencia. Por tanto, una buena estrategia es empezar por ellos y en cuanto consigamos una invitación a un programa que se ajuste a nuestras habilidades centrarnos en él.

4. Por recompensa: Finalmente, es importante considerar la recompensa ofrecida por el programa y asegurarse de que esté en línea con el nivel de esfuerzo y riesgo involucrado en la búsqueda de vulnerabilidades. Si nos sentimos recompensados obteniendo puntos y logrando invitaciones, un programa sin recompensa es ideal. Una vez tengamos experiencia y el simple reconocimiento ya no sea recompensa suficiente, podremos empezar a buscar programas que nos recompensen económicamente por el esfuerzo dedicado.

Read Entire Article
  3. Bug Bounty — Tipos de programas y como escoger

Related

Unraveling the Web of Price Manipulation Safeguarding Fairness in Markets

Unraveling the Web of Price Manipulation Safeguarding Fairness in Markets

Unveiling Order Processing Vulnerabilities Protecting Your Business in the Digital Era

Unveiling Order Processing Vulnerabilities Protecting Your Business in the Digital Era

5 bugs in one program $$$

5 bugs in one program $$$

Multiple Business Logic Errors in APPLE music/TV allowing bypass of parental controls

Multiple Business Logic Errors in APPLE music/TV allowing bypass of parental controls

Gaining Control: How Response Manipulation Leads to Higher Privileges (PoC)

Gaining Control: How Response Manipulation Leads to Higher Privileges (PoC)

A Arte de Explorar SQL Injection: Uma abordagem profunda

A Arte de Explorar SQL Injection: Uma abordagem profunda

Trending

1. Bridgerton Season 3
2. Chelsea
3. Man United vs Newcastle
4. Sandeep Lamichhane
5. Harshal Patel
6. Slovakia
7. RBSE 10th Result 2024
8. Madhavi Raje
9. Arsenal
10. Jyotiraditya Scindia

Popular

1-click RCE in Electron Applications

1-click RCE in Electron Applications

Install waybackurls on Kali Linux

Install waybackurls on Kali Linux

Over 40 Apps With More Than 100 Million Installs Found Leaking AWS Keys

Over 40 Apps With More Than 100 Million Installs Found Leaking AWS Keys

Microsoft Office Professional Plus 2019 (x64 & x86) Multilingual + Pre-Activated

Microsoft Office Professional Plus 2019 (x64 & x86) Multilingual + Pre-Activated

Install DalFox on Kali Linux

Install DalFox on Kali Linux

Adobe Master Collection CC 2022 v25.08.2022 (x64) Multilingual Pre-Activated

Adobe Master Collection CC 2022 v25.08.2022 (x64) Multilingual Pre-Activated

Maxon CINEMA 4D Studio S22.123 (x64) Multilingual + Crack

Maxon CINEMA 4D Studio S22.123 (x64) Multilingual + Crack

‘We are not motivated by profits’ – Open Bug Bounty maintainers on finding a niche in the crowdsourced AppSec market

‘We are not motivated by profits’ – Open Bug Bounty maintainers on finding a niche in the crowdsourced AppSec market

Just Gopher It: Escalating a Blind SSRF to RCE for $15k

Just Gopher It: Escalating a Blind SSRF to RCE for $15k

SketchUp Pro 2020 v20.2.172 (x64) Multilingual + Patch

SketchUp Pro 2020 v20.2.172 (x64) Multilingual + Patch

BOOK THIS SPACE FOR AD
RIGHT SIDEBAR BOTTOM AD
Bengali (Bangladesh) Bengali (Bangladesh) · English (United States) English (United States) ·
About Us · Terms & Condition · Contact Us
© Security Alert 2024. All rights are reserved