All'inizio, dove dovrei essere in cerca di vulns? Grandi siti di taglie e progetti minori? [chiuso]

0

Sono un appassionato di sicurezza delle applicazioni web amatoriale con quello che direi è un livello intermedio di conoscenza a questo punto. Sono interessato a trovare lavoro a tempo pieno come tester per penne web app.

Fino ad ora ho lavorato principalmente su app Web vulnerabili ospitate su macchine virtuali localmente.

Mi piacerebbe iniziare a fare ricerche sulla vulnerabilità e provare a ottenere alcuni bug CVE elencati al mio nome. Ritengo che in mancanza di una laurea o di un'esperienza lavorativa direttamente rilevante ciò serva fondamentalmente come un portfolio e dimostri competenza.

La mia domanda è dove dovrei iniziare a cercare?

Dovrei mirare ai siti di alto profilo che offrono bonus come quelli elencati su Bugcrowd?

O un approccio migliore potrebbe essere quello di sottoporre a audit progetti open source più piccoli e inviare le mie scoperte ai loro team?

Il mio processo di pensiero è che i siti di alto profilo più grandi saranno esaminati molto più pesantemente, quindi meno possibilità di trovare problemi interessanti quando non sei così esperto. Ma trovare un bug è un grosso problema.

Mentre i progetti più piccoli potrebbero non dare molto lavoro alla sicurezza, per cui i bug possono essere abbondanti da trovare, ma significano qualcosa in termini di dimostrazione della competenza e dell'efficienza. in termini di un portafoglio da mostrare ai datori di lavoro? (A parte il valore apportato al progetto rendendo il loro codice più sicuro supponendo che siano ricettivi ai tuoi sforzi).

Da dove hai iniziato? Qualche consiglio su come procedere?

    
posta MTLPhil 24.02.2014 - 22:57
fonte

1 risposta

3

La scelta tra progetti con grandi offerte di taglie e piccoli progetti senza budget è sempre meno importante. Progetti come programma di ricompensa delle patch di Google significano che anche i bug in GCC possono guadagnare denaro se scrivi una patch per correggere il bug.

Puoi guadagnare riconoscimento per progetti senza programmi di ricompensa bug. Ad esempio, un paio di googler hanno iniziato a utilizzare il loro framework fuzzing per cercare bug in ffmpeg e ora, due anni dopo , hanno avuto oltre 1.000 bug di sicurezza corretti. Hanno scelto ffmpeg perché aveva una storia di errori di sicurezza, era facile da testare ed era usato da molte persone. Mostra anche che puoi trascorrere molto, molto tempo su un singolo progetto.

Ma per ricevere il giusto tipo di riconoscimento, la qualità dei tuoi report deve essere alta. Alcune persone inviano molti report e ricevono molti CVE ma i manutentori del database delle vulnerabilità odiano vedere un nuovo report arrivare perché è così tanto lavoro per estrarre la verità dal rapporto.

Il miglior consiglio che posso dare per iniziare è trovare un progetto su cui ti piace lavorare e sapere bene che è scritto in una lingua che conosci bene o ha una classe di bug che conosci bene (come XSS o corruzione della memoria) . In questo modo tutto il tuo focus può essere sull'apprendimento dei nuovi strumenti e sull'apprendimento del processo di database delle vulnerabilità piuttosto che sull'apprendimento di un nuovo progetto e linguaggio di programmazione.

Trovare un progetto con una cronologia di bug di sicurezza è una buona idea se riesci a gestirlo. La teoria è che, sebbene abbia già sistemato molti bug, ce ne sono molti ancora da scoprire perché gli sviluppatori non sono bravi nelle pratiche di codifica sicure. I progetti in cui gli sviluppatori sono bravi nella codifica sicura non hanno tanti bug di sicurezza da trovare.

In seguito, una volta che sarai ben radicato in tutte queste novità, potrebbe essere il momento giusto per espandersi in nuove lingue e nuovi progetti.

Ho appena pensato a una classe interessante di app che si adattano a molti dei criteri sopra riportati. Una nuova app per telefoni con un numero infinito di input, una curva di crescita esponenziale e una storia di difetti di sicurezza che sono stati appena acquistati per importi esorbitanti da una grande azienda con un programma di bug bug esistente. Sì, WhatsApp . Anche se qualsiasi app per telefono ridicolmente popolare che esegue l'accesso alla rete sarebbe un buon candidato per la confusione, quindi Candy Crush Saga, Flappy Wings, Splashy Fish, Telegram, Threema, ecc. Sono tutti buoni candidati.

    
risposta data 25.02.2014 - 08:59
fonte

Leggi altre domande sui tag