SlideShare una empresa de Scribd logo

Bugbounty en Español, todo lo que no te han dicho

Jaime Restrepo
Jaime Restrepo

Si no sabes que es bugbounty o quieres iniciar en este mundo y no sabes como hacerlo, quédate en esta charla que te servirá para iniciarte en el mundo del bug bounty. Te contaré lo que nadie te dice cuando decides dedicarte parcial o completamente a la busca de fallos para grandes compañías, y algunas recomendaciones basadas en experiencias propias para que tu vida en este campo sea más llevadera. Si te ha gustado dale "Me Gusta" y Suscríbete (http://bit.ly/DragonJARtv) que ayuda mucho! Más de DragonJAR.tv : ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------

Tecnología
1 de 47
Descargar para leer sin conexión
LA CHARLA SE ENCUENTRA GRABADA EN WWW.DRAGONJAR.TV
Lo que nadie te dijo antes de dedicarte al Bugbounty
Ingeniero en Sistemas y Telecomunicaciones de la U de Manizales, Information Security Researcher y Analista Forense con más de 15 años de experiencia, Speaker y Organizador de diferentes eventos de Seguridad Informática en diferentes países de habla hispana, Fundador del DragonJAR Security Conference, CEO/Fundador de DragonJAR Soluciones y Seguridad Informática SAS y Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática más grandes de habla hispana y referente en el sector. Correo: dragon@dragonjar.org Twitter: @DragonJAR Instagram: @Dragon.JAR
www.DragonJAR.org TODOS LOS AÑOS EN EL MES DE SEPTIEMBRE WWW.DRAGONJARCON.ORG
Trabajo • Pago por resultados • Sin vinculación laboral • Maneja tu propio tiempo • Escoge tus clientes • Sin juntas ni reuniones • Puedes crecer en el escalafón
BugBounty ¿qué es? El BugBounty es un acuerdo ofrecido por muchas, organizaciones y desarrolladores de software por el cual las personas pueden recibir reconocimiento y/o compensación por informar errores, especialmente aquellos relacionados con seguridad.
BugBounty (Cazando Bugs)
BugBounty (Cazando Bugs)
History Time
INICIAR NO ES FACIL N/A -5
11 críticos, 20 altos, 4 medios, 1 bajo
11 críticos, 20 altos, 4 medios, 1 bajo
Errores Comunes
Meterse en todo
TOMEMOS.. DECISIONES
Programa o Plataforma
Elegir bien los programas Scope Amplio Programa Nuevo / Muy Viejo
PROGRAMA FECHA INICIO REPORTES MESES FALLOS/MES PORCENTAJE PROMEDIO AT&T 1/07/19 1922 7 275 98% of reports $ 300 Roblox 1/01/20 254 1 254 95% of reports $500-$750 U.S. DoD 1/11/16 6990 39 179 100% of reports NO Ford 1/01/19 1582 13 122 98% of reports NO MTN Group 1/12/19 183 2 92 59% of reports NO GoodRx 1/01/20 92 1 92 99% of reports $ 300 IBM 1/07/18 1600 19 84 100% of reports NO 8x8 1/01/20 80 1 80 100% of reports NO Verizon Media 1/02/14 5778 72 80 98% of reports $400-$500 Magento 1/01/19 910 13 70 96% of reports $195-$590 LifeOmic 1/01/20 52 1 52 100% of reports $250-$300 Priceline 1/04/19 474 10 47 99% of reports $ 250 Mail.ru 1/04/14 3082 70 44 100% of reports $250-$300 Stripo Inc 1/11/19 117 3 39 100% of reports NO PayPal 1/08/18 643 18 36 98% of reports $1k-$2k Adobe 1/02/15 2089 60 35 NO NO Sony 1/10/17 911 28 33 98% of reports NO Logitech VDP 1/10/19 128 4 32 96% of reports NO Nutanix 1/01/20 31 1 31 100% of reports NO
Estados de un reporte Nuevo Bounty
DUPLICADOS
• ¿Programa con scope en múltiples países?… aléjate del ingles. • ¿Programa para móviles?… enfócate en iOS • ¿El servicio es de pago?… pide un trial o contrátalo. • ¿Scope con análisis de código?, búscalo en GitHub XSS IDORS Aléjate de la manada
Mantener Enterado https://visualping.io/
MANOS A LA OBRA
Enumeración Identificar superficie y todos sus elementos (dominios, subdominios, aplicaciones, etc…) Depurar superficie e identificar activos con motores de búsqueda especializados Objetivos definidos y filtrados Fuzzing a superficie depurada
Sublist3r enumall Knock Subbrute massdns Recon-ng Amass SubFinder httprobe waybackurls dirsearch, wfuzz, gobuster EyeWitness http-vulners-regex.nse Enumeración dom ained KALI NUBE @Jiiturrioz 100USD DigitalOcean
https://www.youtube.com/watch?v=gIz_yn0Uvb8 Jason Haddix (@JHaddix)
• Cross-site Scripting • Improper Authentication • Information Disclosure • Privilege Escalation • SQL Injection • Code Injection • Server-Side Request Forgery • Insecure Direct Object Reference • Improper Access Control • Cross-Site Request Forgery ¿Que reportar?
https://amazon.com/-/es/Dafydd-Stuttard/dp/1118026470/ https://portswigger.net/web-security https://amazon.com/-/es/Peter-Yaworski/dp/1593278616/ Algunos Recursos 
 • Revisar en las plataformas de bugbounty mas populares el TOP 50 y seguirlos a tod@s. • La mayoría de plataformas cuentan con un apartado de “disclosure”, léelo, una de las mejores formas de aprender es ver cómo lo hacen otras personas. • Sigue hashtags como #bugbounty #bugbountytip en las diferentes redes sociales y sitios como medium.com • Registrate en foros, canales, blogs, meetups o cualquier espacio donde se hable del tema. ¿QUÉ MÁS PUEDO HACER?
¿NO TIENES LA EXPERIENCIA O EL CONOCIMIENTO? … NO IMPORTA, AQUI UN BUEN INICIO … GRATIS ¿Donde Empezar? WWW.DRAGONJAR.EDUCATION
ENCONTRAMOS UN FALLO ¿Y AHORA?
Steps To Reproduce: (Add details for how we can reproduce the issue) -First open a Mozila browser -login to this url https://www.coinbase.com/signin -Right click on the page -choose Inspect Element -Then choose an element from the page -Move your cursor to sign in button -Click on it -then change the url showing on Inspect element -Close Inspect element session Open redirect on sign in https://hackerone.com/reports/231760
Hey You ** When You Gonna Approved My Bug Reports You Are ** Take So Much Time To Review I Gonna ** You In the ** You ** Son Of ** And You Know What Your Birth Certificate Is An Apology From The Condom Factory. …. Suck My ** ** Suck My ** ** Suck My ** ** Suck My ** ** Suck My ** ** https://hackerone.com/reports/33587
Here you can see that XSS but which is openly redirectable.. Plz fix it and pay me bounty.. Triagger: Nope, not without more info. plz pay me.. my mom is sick.. I need money.. Triagger: Sorry, no. This is for legitimate bugs. give me money 😡😡 Big XSS vulnerability! https://hackerone.com/reports/216330
account hijacking [dragonjar.education] Chained security misconfigurations lead to account hijacking - XSS in https://dragonjar.education [dragonjar.education] XSS via “search” parameter in “/buscar.php” - posible sql injection … si tu dudas de tu reporte… Títulos Descriptivos
Open port 10022 leads to disclosure of open-ssh version and current Debian version being used. Vulnerable Website URL or Application: Sitio Afectado Description of Security problem: ¿por qué lo que reportas es un problema de seguridad? las peticiones completas, los pantallazos y hasta los videos son muy bien recibidos, para explicar como tu fallo afecta la organización Steps needed to reproduce bug: Pasos detallados para reproducir el problema Impact: ¿que le puede pasar a la organización si se explota? el fallo (plantea siempre el peor escenario) Reporte
• Revisar tus reportes mínimo cada 30 días • Validar si ya ha sido reparado y notificarlo • Siempre ser amable
 (piensa que los triaggers son personas con trabajo muy estresante) Seguimiento
Peleen sus Reportes TRIAGGER BUG HUNTER
CICLO SE REPITE
Carlos, 34 años El BugBounty no es estresante. DEFINIR ESPACIOS Y HORARIOS DE HUNTING AUTOMATIZAR LO QUE MAS PUEDAS (QUE LAS HORAS DE CASERIA NO SEAN LABORES REPETITIVAS) APRENDE A MANEJAR LA ANSIEDAD DESPUES DE REPORTAR REUNETE CON GENTE QUE TAMBIEN HAGA CACERIA ES UNA COMPETENCIA, PERO DEBES SABER CUANDO PARAR
COMUNIDAD
COMUNIDAD
TÚ
GRACIAS
¿?

Recomendados

AJE | Zaragoza | Cómo prosperar en la sociedad de la conversación
AJE | Zaragoza | Cómo prosperar en la sociedad de la conversaciónAJE | Zaragoza | Cómo prosperar en la sociedad de la conversación
AJE | Zaragoza | Cómo prosperar en la sociedad de la conversaciónAlberto Ortiz de Zarate
 
Eventos 2 0
Eventos 2 0Eventos 2 0
Eventos 2 0Knowldedge Factory
 
Practica4 pamela llangari
Practica4 pamela llangariPractica4 pamela llangari
Practica4 pamela llangariPamela Llangari
 
La Escuelita - Medios Digitales - Clase 11 - Redes sociales - 2012
La Escuelita - Medios Digitales - Clase 11 - Redes sociales - 2012La Escuelita - Medios Digitales - Clase 11 - Redes sociales - 2012
La Escuelita - Medios Digitales - Clase 11 - Redes sociales - 2012Daniel Carranza
 
Como insertar una radio en el blog
Como insertar una radio en el blogComo insertar una radio en el blog
Como insertar una radio en el blognathalymolina
 
Ada #6
Ada #6Ada #6
Ada #6Braulio Argaez
 
La web 3.0
La web 3.0La web 3.0
La web 3.0MaryCanal
 
Ventajas y desventajas
Ventajas y desventajasVentajas y desventajas
Ventajas y desventajasJuanRomero519
 

Recomendados

AJE | Zaragoza | Cómo prosperar en la sociedad de la conversación
AJE | Zaragoza | Cómo prosperar en la sociedad de la conversaciónAJE | Zaragoza | Cómo prosperar en la sociedad de la conversación
AJE | Zaragoza | Cómo prosperar en la sociedad de la conversaciónAlberto Ortiz de Zarate
 
Eventos 2 0
Eventos 2 0Eventos 2 0
Eventos 2 0Knowldedge Factory
 
Practica4 pamela llangari
Practica4 pamela llangariPractica4 pamela llangari
Practica4 pamela llangariPamela Llangari
 
La Escuelita - Medios Digitales - Clase 11 - Redes sociales - 2012
La Escuelita - Medios Digitales - Clase 11 - Redes sociales - 2012La Escuelita - Medios Digitales - Clase 11 - Redes sociales - 2012
La Escuelita - Medios Digitales - Clase 11 - Redes sociales - 2012Daniel Carranza
 
Como insertar una radio en el blog
Como insertar una radio en el blogComo insertar una radio en el blog
Como insertar una radio en el blognathalymolina
 
Ada #6
Ada #6Ada #6
Ada #6Braulio Argaez
 
La web 3.0
La web 3.0La web 3.0
La web 3.0MaryCanal
 
Ventajas y desventajas
Ventajas y desventajasVentajas y desventajas
Ventajas y desventajasJuanRomero519
 
Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesionesTensor
 
Herramientas telematicas Trabajo final
Herramientas telematicas Trabajo finalHerramientas telematicas Trabajo final
Herramientas telematicas Trabajo finalhasleidy
 
Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesionesTensor
 
Web 1.0 2.0 y 3.0
Web 1.0 2.0 y 3.0Web 1.0 2.0 y 3.0
Web 1.0 2.0 y 3.0equintero19
 
PROYECTO PARTE 2
PROYECTO PARTE 2PROYECTO PARTE 2
PROYECTO PARTE 2roxblue
 
Redes sociales como entorno educativo
Redes sociales como entorno educativoRedes sociales como entorno educativo
Redes sociales como entorno educativosantiago492
 
Qr code party bogotech 2
Qr code party bogotech 2Qr code party bogotech 2
Qr code party bogotech 2Knowldedge Factory
 
Secuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepSecuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepTensor
 
4 mitos de seguridad desmentidos
4 mitos de seguridad desmentidos4 mitos de seguridad desmentidos
4 mitos de seguridad desmentidosEvaluandoSoftware
 
Como limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRComo limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRSucuri
 
Presentacion final
Presentacion finalPresentacion final
Presentacion finalEvelyn
 
Entran usuarios en pánico a Twitter
Entran usuarios en pánico a TwitterEntran usuarios en pánico a Twitter
Entran usuarios en pánico a Twittermagortizm
 
Privacidad en linea
Privacidad en lineaPrivacidad en linea
Privacidad en lineaAldairMG
 
Yo confieso: la ciberseguridad me ha mutado
Yo confieso: la ciberseguridad me ha mutado Yo confieso: la ciberseguridad me ha mutado
Yo confieso: la ciberseguridad me ha mutado Yolanda Corral
 
Webcam
Webcam Webcam
Webcam Aleja Medrano
 
Actividad 3.3.1
Actividad 3.3.1Actividad 3.3.1
Actividad 3.3.1GRANJA423
 
Consejos prácticos para proteger tu vida personal y tu negocio en internet
Consejos prácticos para proteger tu vida personal y tu negocio en internetConsejos prácticos para proteger tu vida personal y tu negocio en internet
Consejos prácticos para proteger tu vida personal y tu negocio en internetEscuela de Innovación para el Comercio
 
Presentation2
Presentation2Presentation2
Presentation2dulcecristal
 
Estamos Siendo Espiados
Estamos Siendo EspiadosEstamos Siendo Espiados
Estamos Siendo EspiadosNet-Learning - Soluciones para e-learning
 
Seguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogadosSeguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogadosGatell & Asociados
 
Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Iñaki Huerta (ikhuerta)
 
Adm. de la salud y seg. ocup.
Adm. de la salud y seg. ocup.Adm. de la salud y seg. ocup.
Adm. de la salud y seg. ocup.huyr
 

Más contenido relacionado

La actualidad más candente

Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesionesTensor
 
Herramientas telematicas Trabajo final
Herramientas telematicas Trabajo finalHerramientas telematicas Trabajo final
Herramientas telematicas Trabajo finalhasleidy
 
Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesionesTensor
 
Web 1.0 2.0 y 3.0
Web 1.0 2.0 y 3.0Web 1.0 2.0 y 3.0
Web 1.0 2.0 y 3.0equintero19
 
PROYECTO PARTE 2
PROYECTO PARTE 2PROYECTO PARTE 2
PROYECTO PARTE 2roxblue
 
Redes sociales como entorno educativo
Redes sociales como entorno educativoRedes sociales como entorno educativo
Redes sociales como entorno educativosantiago492
 
Secuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepSecuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepTensor
 
4 mitos de seguridad desmentidos
4 mitos de seguridad desmentidos4 mitos de seguridad desmentidos
4 mitos de seguridad desmentidosEvaluandoSoftware
 
Como limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRComo limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRSucuri
 
Presentacion final
Presentacion finalPresentacion final
Presentacion finalEvelyn
 
Entran usuarios en pánico a Twitter
Entran usuarios en pánico a TwitterEntran usuarios en pánico a Twitter
Entran usuarios en pánico a Twittermagortizm
 
Privacidad en linea
Privacidad en lineaPrivacidad en linea
Privacidad en lineaAldairMG
 
Yo confieso: la ciberseguridad me ha mutado
Yo confieso: la ciberseguridad me ha mutado Yo confieso: la ciberseguridad me ha mutado
Yo confieso: la ciberseguridad me ha mutado Yolanda Corral
 
Actividad 3.3.1
Actividad 3.3.1Actividad 3.3.1
Actividad 3.3.1GRANJA423
 

La actualidad más candente (16)

Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesiones
 
Herramientas telematicas Trabajo final
Herramientas telematicas Trabajo finalHerramientas telematicas Trabajo final
Herramientas telematicas Trabajo final
 
Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesiones
 
Web 1.0 2.0 y 3.0
Web 1.0 2.0 y 3.0Web 1.0 2.0 y 3.0
Web 1.0 2.0 y 3.0
 
PROYECTO PARTE 2
PROYECTO PARTE 2PROYECTO PARTE 2
PROYECTO PARTE 2
 
Redes sociales como entorno educativo
Redes sociales como entorno educativoRedes sociales como entorno educativo
Redes sociales como entorno educativo
 
Qr code party bogotech 2
Qr code party bogotech 2Qr code party bogotech 2
Qr code party bogotech 2
 
Secuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepSecuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheep
 
4 mitos de seguridad desmentidos
4 mitos de seguridad desmentidos4 mitos de seguridad desmentidos
4 mitos de seguridad desmentidos
 
Como limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCRComo limpiar sitios WordPress hackiados #WCCR
Como limpiar sitios WordPress hackiados #WCCR
 
Presentacion final
Presentacion finalPresentacion final
Presentacion final
 
Entran usuarios en pánico a Twitter
Entran usuarios en pánico a TwitterEntran usuarios en pánico a Twitter
Entran usuarios en pánico a Twitter
 
Privacidad en linea
Privacidad en lineaPrivacidad en linea
Privacidad en linea
 
Yo confieso: la ciberseguridad me ha mutado
Yo confieso: la ciberseguridad me ha mutado Yo confieso: la ciberseguridad me ha mutado
Yo confieso: la ciberseguridad me ha mutado
 
Webcam
Webcam Webcam
Webcam
 
Actividad 3.3.1
Actividad 3.3.1Actividad 3.3.1
Actividad 3.3.1
 

Similar a Bugbounty en Español, todo lo que no te han dicho

Consejos prácticos para proteger tu vida personal y tu negocio en internet
Consejos prácticos para proteger tu vida personal y tu negocio en internetConsejos prácticos para proteger tu vida personal y tu negocio en internet
Consejos prácticos para proteger tu vida personal y tu negocio en internetEscuela de Innovación para el Comercio
 
Seguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogadosSeguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogadosGatell & Asociados
 
Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Iñaki Huerta (ikhuerta)
 
Adm. de la salud y seg. ocup.
Adm. de la salud y seg. ocup.Adm. de la salud y seg. ocup.
Adm. de la salud y seg. ocup.huyr
 
éTica y estética en la red
éTica y estética en la redéTica y estética en la red
éTica y estética en la redclaudiatrabanco
 
10 errores sobre seguridad y linkedin la clave de tu exito
10 errores sobre seguridad y linkedin la clave de tu exito10 errores sobre seguridad y linkedin la clave de tu exito
10 errores sobre seguridad y linkedin la clave de tu exitoArmandoAyudame.com
 
10 Errores Sobre Seguridad Y Linkedin La Clave De Tu Exito
10 Errores Sobre Seguridad Y Linkedin La Clave De Tu Exito10 Errores Sobre Seguridad Y Linkedin La Clave De Tu Exito
10 Errores Sobre Seguridad Y Linkedin La Clave De Tu ExitoArmandoAyudame.com
 
éTica y estética en la red
éTica y estética en la redéTica y estética en la red
éTica y estética en la redclaudiatrabanco
 
Privacidad en Internet
Privacidad en InternetPrivacidad en Internet
Privacidad en InternetSarah Trägner
 
Taller de redes sociales para empresas
Taller de redes sociales para empresasTaller de redes sociales para empresas
Taller de redes sociales para empresasNexoComunicacion
 
Eduardo rama gonzález resumen
Eduardo rama gonzález resumenEduardo rama gonzález resumen
Eduardo rama gonzález resumenEduardo Rama
 
Eduardo rama gonzález resumen
Eduardo rama gonzález resumenEduardo rama gonzález resumen
Eduardo rama gonzález resumenEduardo Rama
 
revista contagio informatico
revista contagio informaticorevista contagio informatico
revista contagio informaticonescobarfiscal
 
Internet
InternetInternet
Internetreynate
 
Internet & Administradores de Fincas - Presente y Futuro
Internet & Administradores de Fincas - Presente y FuturoInternet & Administradores de Fincas - Presente y Futuro
Internet & Administradores de Fincas - Presente y FuturoFrancisco José García Higuera
 

Similar a Bugbounty en Español, todo lo que no te han dicho (20)

Consejos prácticos para proteger tu vida personal y tu negocio en internet
Consejos prácticos para proteger tu vida personal y tu negocio en internetConsejos prácticos para proteger tu vida personal y tu negocio en internet
Consejos prácticos para proteger tu vida personal y tu negocio en internet
 
Presentation2
Presentation2Presentation2
Presentation2
 
Estamos Siendo Espiados
Estamos Siendo EspiadosEstamos Siendo Espiados
Estamos Siendo Espiados
 
Seguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogadosSeguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogados
 
Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019Auditando Google Analytics - Clinic SEO - eShow 2019
Auditando Google Analytics - Clinic SEO - eShow 2019
 
Adm. de la salud y seg. ocup.
Adm. de la salud y seg. ocup.Adm. de la salud y seg. ocup.
Adm. de la salud y seg. ocup.
 
éTica y estética en la red
éTica y estética en la redéTica y estética en la red
éTica y estética en la red
 
10 errores sobre seguridad y linkedin la clave de tu exito
10 errores sobre seguridad y linkedin la clave de tu exito10 errores sobre seguridad y linkedin la clave de tu exito
10 errores sobre seguridad y linkedin la clave de tu exito
 
10 Errores Sobre Seguridad Y Linkedin La Clave De Tu Exito
10 Errores Sobre Seguridad Y Linkedin La Clave De Tu Exito10 Errores Sobre Seguridad Y Linkedin La Clave De Tu Exito
10 Errores Sobre Seguridad Y Linkedin La Clave De Tu Exito
 
éTica y estética en la red
éTica y estética en la redéTica y estética en la red
éTica y estética en la red
 
Privacidad en Internet
Privacidad en InternetPrivacidad en Internet
Privacidad en Internet
 
Investigacion 3 virus
Investigacion 3 virusInvestigacion 3 virus
Investigacion 3 virus
 
Taller de redes sociales para empresas
Taller de redes sociales para empresasTaller de redes sociales para empresas
Taller de redes sociales para empresas
 
Gonzaloeticared
GonzaloeticaredGonzaloeticared
Gonzaloeticared
 
barbaraeticared
barbaraeticaredbarbaraeticared
barbaraeticared
 
Eduardo rama gonzález resumen
Eduardo rama gonzález resumenEduardo rama gonzález resumen
Eduardo rama gonzález resumen
 
Eduardo rama gonzález resumen
Eduardo rama gonzález resumenEduardo rama gonzález resumen
Eduardo rama gonzález resumen
 
revista contagio informatico
revista contagio informaticorevista contagio informatico
revista contagio informatico
 
Internet
InternetInternet
Internet
 
Internet & Administradores de Fincas - Presente y Futuro
Internet & Administradores de Fincas - Presente y FuturoInternet & Administradores de Fincas - Presente y Futuro
Internet & Administradores de Fincas - Presente y Futuro
 

Más de Jaime Restrepo

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarJaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxJaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conJaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarJaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursJaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysisJaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoJaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Jaime Restrepo
 

Más de Jaime Restrepo (20)

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
 

Último

La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 

Último (19)

La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

Bugbounty en Español, todo lo que no te han dicho

  • 1. LA CHARLA SE ENCUENTRA GRABADA EN WWW.DRAGONJAR.TV
  • 2. Lo que nadie te dijo antes de dedicarte al Bugbounty
  • 3. Ingeniero en Sistemas y Telecomunicaciones de la U de Manizales, Information Security Researcher y Analista Forense con más de 15 años de experiencia, Speaker y Organizador de diferentes eventos de Seguridad Informática en diferentes países de habla hispana, Fundador del DragonJAR Security Conference, CEO/Fundador de DragonJAR Soluciones y Seguridad Informática SAS y Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática más grandes de habla hispana y referente en el sector. Correo: dragon@dragonjar.org Twitter: @DragonJAR Instagram: @Dragon.JAR
  • 4. www.DragonJAR.org TODOS LOS AÑOS EN EL MES DE SEPTIEMBRE WWW.DRAGONJARCON.ORG
  • 5.
  • 6. Trabajo • Pago por resultados • Sin vinculación laboral • Maneja tu propio tiempo • Escoge tus clientes • Sin juntas ni reuniones • Puedes crecer en el escalafón
  • 7. BugBounty ¿qué es? El BugBounty es un acuerdo ofrecido por muchas, organizaciones y desarrolladores de software por el cual las personas pueden recibir reconocimiento y/o compensación por informar errores, especialmente aquellos relacionados con seguridad.
  • 11. INICIAR NO ES FACIL N/A -5
  • 12. 11 críticos, 20 altos, 4 medios, 1 bajo
  • 13. 11 críticos, 20 altos, 4 medios, 1 bajo
  • 19. PROGRAMA FECHA INICIO REPORTES MESES FALLOS/MES PORCENTAJE PROMEDIO AT&T 1/07/19 1922 7 275 98% of reports $ 300 Roblox 1/01/20 254 1 254 95% of reports $500-$750 U.S. DoD 1/11/16 6990 39 179 100% of reports NO Ford 1/01/19 1582 13 122 98% of reports NO MTN Group 1/12/19 183 2 92 59% of reports NO GoodRx 1/01/20 92 1 92 99% of reports $ 300 IBM 1/07/18 1600 19 84 100% of reports NO 8x8 1/01/20 80 1 80 100% of reports NO Verizon Media 1/02/14 5778 72 80 98% of reports $400-$500 Magento 1/01/19 910 13 70 96% of reports $195-$590 LifeOmic 1/01/20 52 1 52 100% of reports $250-$300 Priceline 1/04/19 474 10 47 99% of reports $ 250 Mail.ru 1/04/14 3082 70 44 100% of reports $250-$300 Stripo Inc 1/11/19 117 3 39 100% of reports NO PayPal 1/08/18 643 18 36 98% of reports $1k-$2k Adobe 1/02/15 2089 60 35 NO NO Sony 1/10/17 911 28 33 98% of reports NO Logitech VDP 1/10/19 128 4 32 96% of reports NO Nutanix 1/01/20 31 1 31 100% of reports NO
  • 22. • ¿Programa con scope en múltiples países?… aléjate del ingles. • ¿Programa para móviles?… enfócate en iOS • ¿El servicio es de pago?… pide un trial o contrátalo. • ¿Scope con análisis de código?, búscalo en GitHub XSS IDORS Aléjate de la manada
  • 25. Enumeración Identificar superficie y todos sus elementos (dominios, subdominios, aplicaciones, etc…) Depurar superficie e identificar activos con motores de búsqueda especializados Objetivos definidos y filtrados Fuzzing a superficie depurada
  • 28. • Cross-site Scripting • Improper Authentication • Information Disclosure • Privilege Escalation • SQL Injection • Code Injection • Server-Side Request Forgery • Insecure Direct Object Reference • Improper Access Control • Cross-Site Request Forgery ¿Que reportar?
  • 29. https://amazon.com/-/es/Dafydd-Stuttard/dp/1118026470/ https://portswigger.net/web-security https://amazon.com/-/es/Peter-Yaworski/dp/1593278616/ Algunos Recursos 
 • Revisar en las plataformas de bugbounty mas populares el TOP 50 y seguirlos a tod@s. • La mayoría de plataformas cuentan con un apartado de “disclosure”, léelo, una de las mejores formas de aprender es ver cómo lo hacen otras personas. • Sigue hashtags como #bugbounty #bugbountytip en las diferentes redes sociales y sitios como medium.com • Registrate en foros, canales, blogs, meetups o cualquier espacio donde se hable del tema. ¿QUÉ MÁS PUEDO HACER?
  • 30. ¿NO TIENES LA EXPERIENCIA O EL CONOCIMIENTO? … NO IMPORTA, AQUI UN BUEN INICIO … GRATIS ¿Donde Empezar? WWW.DRAGONJAR.EDUCATION
  • 32.
  • 33. Steps To Reproduce: (Add details for how we can reproduce the issue) -First open a Mozila browser -login to this url https://www.coinbase.com/signin -Right click on the page -choose Inspect Element -Then choose an element from the page -Move your cursor to sign in button -Click on it -then change the url showing on Inspect element -Close Inspect element session Open redirect on sign in https://hackerone.com/reports/231760
  • 34. Hey You ** When You Gonna Approved My Bug Reports You Are ** Take So Much Time To Review I Gonna ** You In the ** You ** Son Of ** And You Know What Your Birth Certificate Is An Apology From The Condom Factory. …. Suck My ** ** Suck My ** ** Suck My ** ** Suck My ** ** Suck My ** ** https://hackerone.com/reports/33587
  • 35. Here you can see that XSS but which is openly redirectable.. Plz fix it and pay me bounty.. Triagger: Nope, not without more info. plz pay me.. my mom is sick.. I need money.. Triagger: Sorry, no. This is for legitimate bugs. give me money 😡😡 Big XSS vulnerability! https://hackerone.com/reports/216330
  • 36.
  • 37. account hijacking [dragonjar.education] Chained security misconfigurations lead to account hijacking - XSS in https://dragonjar.education [dragonjar.education] XSS via “search” parameter in “/buscar.php” - posible sql injection … si tu dudas de tu reporte… Títulos Descriptivos
  • 38. Open port 10022 leads to disclosure of open-ssh version and current Debian version being used. Vulnerable Website URL or Application: Sitio Afectado Description of Security problem: ¿por qué lo que reportas es un problema de seguridad? las peticiones completas, los pantallazos y hasta los videos son muy bien recibidos, para explicar como tu fallo afecta la organización Steps needed to reproduce bug: Pasos detallados para reproducir el problema Impact: ¿que le puede pasar a la organización si se explota? el fallo (plantea siempre el peor escenario) Reporte
  • 39. • Revisar tus reportes mínimo cada 30 días • Validar si ya ha sido reparado y notificarlo • Siempre ser amable
 (piensa que los triaggers son personas con trabajo muy estresante) Seguimiento
  • 42. Carlos, 34 años El BugBounty no es estresante. DEFINIR ESPACIOS Y HORARIOS DE HUNTING AUTOMATIZAR LO QUE MAS PUEDAS (QUE LAS HORAS DE CASERIA NO SEAN LABORES REPETITIVAS) APRENDE A MANEJAR LA ANSIEDAD DESPUES DE REPORTAR REUNETE CON GENTE QUE TAMBIEN HAGA CACERIA ES UNA COMPETENCIA, PERO DEBES SABER CUANDO PARAR
  • 45.
  • 47. ¿?