Si no sabes que es bugbounty o quieres iniciar en este mundo y no sabes como hacerlo, quédate en esta charla que te servirá para iniciarte en el mundo del bug bounty.
Te contaré lo que nadie te dice cuando decides dedicarte parcial o completamente a la busca de fallos para grandes compañías, y algunas recomendaciones basadas en experiencias propias para que tu vida en este campo sea más llevadera.
Si te ha gustado dale "Me Gusta" y Suscríbete (http://bit.ly/DragonJARtv) que ayuda mucho!
Más de DragonJAR.tv :
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
2. Lo que nadie te
dijo antes de
dedicarte al
Bugbounty
3. Ingeniero en Sistemas y Telecomunicaciones de la U de Manizales,
Information Security Researcher y Analista Forense con más de 15
años de experiencia, Speaker y Organizador de diferentes eventos
de Seguridad Informática en diferentes países de habla hispana,
Fundador del DragonJAR Security Conference, CEO/Fundador de
DragonJAR Soluciones y Seguridad Informática SAS y Creador
de La Comunidad DragonJAR, una de las comunidades de
seguridad informática más grandes de habla hispana y
referente en el sector.
Correo: dragon@dragonjar.org
Twitter: @DragonJAR
Instagram: @Dragon.JAR
6. Trabajo
• Pago por resultados
• Sin vinculación laboral
• Maneja tu propio tiempo
• Escoge tus clientes
• Sin juntas ni reuniones
• Puedes crecer en el escalafón
7. BugBounty ¿qué es?
El BugBounty es un acuerdo ofrecido
por muchas, organizaciones y
desarrolladores de software por el cual
las personas pueden recibir
reconocimiento y/o compensación por
informar errores, especialmente
aquellos relacionados con seguridad.
19. PROGRAMA FECHA INICIO REPORTES MESES FALLOS/MES PORCENTAJE PROMEDIO
AT&T 1/07/19 1922 7 275 98% of reports $ 300
Roblox 1/01/20 254 1 254 95% of reports $500-$750
U.S. DoD 1/11/16 6990 39 179 100% of reports NO
Ford 1/01/19 1582 13 122 98% of reports NO
MTN Group 1/12/19 183 2 92 59% of reports NO
GoodRx 1/01/20 92 1 92 99% of reports $ 300
IBM 1/07/18 1600 19 84 100% of reports NO
8x8 1/01/20 80 1 80 100% of reports NO
Verizon Media 1/02/14 5778 72 80 98% of reports $400-$500
Magento 1/01/19 910 13 70 96% of reports $195-$590
LifeOmic 1/01/20 52 1 52 100% of reports $250-$300
Priceline 1/04/19 474 10 47 99% of reports $ 250
Mail.ru 1/04/14 3082 70 44 100% of reports $250-$300
Stripo Inc 1/11/19 117 3 39 100% of reports NO
PayPal 1/08/18 643 18 36 98% of reports $1k-$2k
Adobe 1/02/15 2089 60 35 NO NO
Sony 1/10/17 911 28 33 98% of reports NO
Logitech VDP 1/10/19 128 4 32 96% of reports NO
Nutanix 1/01/20 31 1 31 100% of reports NO
22. • ¿Programa con scope en
múltiples países?… aléjate
del ingles.
• ¿Programa para móviles?…
enfócate en iOS
• ¿El servicio es de pago?…
pide un trial o contrátalo.
• ¿Scope con análisis de
código?, búscalo en GitHub
XSS
IDORS
Aléjate de la manada
25. Enumeración
Identificar superficie y todos sus elementos
(dominios, subdominios, aplicaciones, etc…)
Depurar superficie e identificar activos con
motores de búsqueda especializados
Objetivos definidos y filtrados
Fuzzing a superficie depurada
33. Steps To Reproduce:
(Add details for how we can reproduce the issue)
-First open a Mozila browser
-login to this url https://www.coinbase.com/signin
-Right click on the page
-choose Inspect Element
-Then choose an element from the page
-Move your cursor to sign in button
-Click on it
-then change the url showing on Inspect element
-Close Inspect element session
Open redirect on sign in
https://hackerone.com/reports/231760
34. Hey You ** When You Gonna Approved My Bug
Reports You Are ** Take So Much Time To
Review I Gonna ** You In the ** You ** Son Of
** And You Know What Your Birth Certificate Is
An Apology From The Condom Factory.
….
Suck My ** **
Suck My ** **
Suck My ** **
Suck My ** **
Suck My ** **
https://hackerone.com/reports/33587
35. Here you can see that XSS but which is openly
redirectable.. Plz fix it and pay me bounty..
Triagger: Nope, not without more info.
plz pay me.. my mom is sick.. I need money..
Triagger: Sorry, no. This is for legitimate bugs.
give me money 😡😡
Big XSS vulnerability!
https://hackerone.com/reports/216330
36.
37. account hijacking
[dragonjar.education] Chained security
misconfigurations lead to account hijacking
-
XSS in https://dragonjar.education
[dragonjar.education] XSS via “search”
parameter in “/buscar.php”
-
posible sql injection
… si tu dudas de tu reporte…
Títulos Descriptivos
38. Open port 10022 leads to disclosure of open-ssh
version and current Debian version being used.
Vulnerable Website URL or Application:
Sitio Afectado
Description of Security problem:
¿por qué lo que reportas es un problema de seguridad?
las peticiones completas, los pantallazos y hasta los
videos son muy bien recibidos, para explicar como tu
fallo afecta la organización
Steps needed to reproduce bug:
Pasos detallados para reproducir el problema
Impact:
¿que le puede pasar a la organización si se explota? el
fallo (plantea siempre el peor escenario)
Reporte
39. • Revisar tus reportes mínimo
cada 30 días
• Validar si ya ha sido reparado y
notificarlo
• Siempre ser amable
(piensa que los triaggers son
personas con trabajo muy estresante)
Seguimiento
42. Carlos, 34 años
El BugBounty
no es
estresante.
DEFINIR ESPACIOS Y HORARIOS DE
HUNTING
AUTOMATIZAR LO QUE MAS PUEDAS
(QUE LAS HORAS DE CASERIA NO SEAN LABORES
REPETITIVAS)
APRENDE A MANEJAR LA ANSIEDAD
DESPUES DE REPORTAR
REUNETE CON GENTE QUE TAMBIEN
HAGA CACERIA
ES UNA COMPETENCIA, PERO DEBES
SABER CUANDO PARAR