Metodologia Bounty dei bug per un principiante [chiuso]

3

Domanda : una volta entrato in un programma di bug bug e iniziato a cercare i bug su un sito Web, come faccio a cercare in modo efficiente i bug?

Ho molta familiarità con le vulnerabilità comuni (XSS, sql injection, ecc.), ho letto alcuni libri come the Tangled Web e il Hackers Handbook e ho giocato un po 'con piattaforme come Web Goat e Damn Vulnerable Web App. Ma quando in realtà mi viene in mente guardando il sito web specificato, mi trovo semplicemente a sfogliare il campo di input casuale e il codice sorgente senza troppe indicazioni. Ritengo che questo sia un uso del tempo molto inefficiente e dedicherò sforzi a settori che non sono molto produttivi.

Qualcuno di voi ha delle buone guide su come identificare rapidamente le aree di interesse senza dover passare attraverso l'intero sito? Ho sentito che gli scanner possono essere utili ma la maggior parte degli errori ovvi rivelati dagli scanner sono già stati risolti.

    
posta user1504547 16.04.2016 - 04:53
fonte

3 risposte

3

Dovresti controllare questo repository github: link

Welcome! This repo is a conglomeration of tips, tricks, tools, and data analysis to use while doing web application security assessments, and more specifically towards bug hunting in bug bounties.

Assicurati di controllare anche il video:)

    
risposta data 19.04.2016 - 00:18
fonte
1

Seguo la top ten OWASP come linea guida. Innanzitutto, di solito controllo tutti i campi di input e gli URL per l'iniezione SQL. Quindi, creerò le directory di forza usando la suite di burp. Controlla XSS, ecc ecc ecc.

    
risposta data 16.04.2016 - 06:32
fonte
0

1 - Segui gli hacker su Twitter, leggi, impara e riproduci i loro hack

2 - Scopri le 10 vulnerabilità di OWASP, impara e riproduci

3 - Impara l'informatica (io sono un ingegnere del software, aiuta molto)

4 - Leggi regolarmente infosec, rimani aggiornato

5 - Cerca di trovare bug e guadagnare soldi (ti motiverà)

6 - Rimani paziente, lavora regolarmente, non arrenderti

7 - Fai del bene, sii rispettoso e professionale con gli altri

8 - Impara e usa correttamente un sistema unix, segui corso online e certificazione (gratuita)

Ciao!

    
risposta data 12.11.2016 - 10:05
fonte