Bug Bountys
|
04-04-2017, 15:51
|
|||
|
|||
Bug Bountys
Jeg ville bare lige dele min kilde til når jeg laver bug bountys på hackerone, bruger jeg en side en af min venner har lavet til at se all de forskellige bug reports igennem se jeg kan lærer fra dem.
til jer der ikke ved hvad bug bountys er det når man hacker en hjemmeside for eksemple twitter, og så bliver man betalt en bounty for ens arbejde. Her inde bbounty.org kan man slå de forskellige op og der komme flere løbenede så hvis jeg skal lærer mere om sql injection kan jeg søge på sqli og alle de forskellige bugs der blevet raptorter for sqli kan jeg så læse og se hvordan de har gjort det. Bare en lille hjælp her fra håber det hjælpe nogle :) |
|||
04-04-2017, 17:44
|
|||
|
|||
RE: Bug Bountys
Fedt at kontribuere til siden med sådan noget! Bug bounties er sjove at læse engang imellem, da man bare tænker WTF over de webudviklere de har haft.
yolo
|
|||
04-04-2017, 18:02
|
|||
|
|||
RE: Bug Bountys
Kræver det ikke man har meget forstand på web languages?
|
|||
04-04-2017, 18:21
|
|||
|
|||
RE: Bug Bountys
(04-04-2017, 18:02)plant Skrev: Kræver det ikke man har meget forstand på web languages? Så vidt jeg kan se på bbounty.org, så er de fleste weborienterede. Bug Bounties gælder dog alle platforme Jeg rapporterede engang XSS til Bone's og fik et 500 kroners gavekort. Det er ikke en bounty de havde kørende, men valgte alligevel at rapportere det
yolo
|
|||
04-04-2017, 19:57
|
|||
|
|||
RE: Bug Bountys
(04-04-2017, 18:21)Ash Skrev: Så vidt jeg kan se på bbounty.org, så er de fleste weborienterede. Bug Bounties gælder dog alle platforme Det lyder spændende, hvordan vil du anbefale man kommer igang? Jeg har kun erfaring med python, og lidt sql injection. Jeg er klar på det hele :) |
|||
04-04-2017, 22:58
|
|||
|
|||
RE: Bug Bountys
(04-04-2017, 20:10)BigJ Skrev: Hvis du ikke vil i fængsel eller trues med at blive anmeldt, så få en aftale til at starte med! *personal experience* Yep... Jeg oplevede det samme med Mensa. De var satme ikke glade, da jeg ringede for at rapportere SQLi.
yolo
|
|||
05-04-2017, 07:36
(Denne besked var sidst ændret: 05-04-2017, 07:37 af zacko.)
|
|||
|
|||
RE: Bug Bountys
Hvis jeg forsøger med noget SQL injection på en hjemmeside, hvordan skulle de så finde ud at der overhovedet er blevet udført på deres side - med nogle helt basale commands?
Kun for at se om siden overhovedet er sårbar. |
|||
05-04-2017, 10:15
|
|||
|
|||
RE: Bug Bountys
(04-04-2017, 19:57)plant Skrev: Det lyder spændende, hvordan vil du anbefale man kommer igang? Find et program, gå i gang med at undersøge og se om du er heldig :) bugcrowd.com/list-of-bug-bounty-programs https://hackerone.com/directory?query=ty...ing&page=1 https://firebounty.com/ https://cobalt.io/ Størstedelen af de forskellige programmer handler om web-sikkerhed, så udvid din horisont indenfor det emne, så du har flere muligheder når du tester. Fordelen ved bug bounties er, at du kun behøver at forstå hvordan man demonstrerer en sårbarhed, og at du derfor ikke behøver at bruge tid på at exploite, som du jo netop ikke må
GOOD LUCK EBOLA-CHAN
I LOVE YOU EBOLA-CHAN |
|||
05-04-2017, 14:11
|
|||
|
|||
RE: Bug Bountys
(05-04-2017, 10:15)R3dpill Skrev: Find et program, gå i gang med at undersøge og se om du er heldig :) Tak for replied. Jeg har læst lidt vedrørende "bug hunt". De fleste ser ud til at bruge forskellige former for software (fx uniscanj), til at hjælpe dem med at finde bugs. Er det virkelig en god ide? Jeg tænker bare chancerne er rimelig store at der allerede har været nogle andre der har kørt den specifikke software, for at tjekke efter bugs på hjemmesiden. |
|||
05-04-2017, 15:03
|
|||
|
|||
RE: Bug Bountys
(05-04-2017, 14:11)plant Skrev: Tak for replied. Jeg har læst lidt vedrørende "bug hunt". De fleste ser ud til at bruge forskellige former for software (fx uniscanj), til at hjælpe dem med at finde bugs. Er det virkelig en god ide? Nej, den slags resulterer normalt i at ens bug er en duplicate medmindre der er et nyt program der lige er blevet offentliggjort, og du er hurtigere end de andre ;) det er fint med automatiserde værktøjer (såfremt det er accepteret i reglerne for et program), men det er bestemt vigtigt at man også roder manuelt for at gå i dybden. Ellers når man ikke særligt langt. Hvis du ikke har styr på andre web-sårbarheder end sql injection, kan det faktisk være ganske lærerigt at køre en automatiseret scanner ved siden af din manuelle test. Hvis den eksempelvis finder en XSS, du har overset, så tænk over, hvorfor du overså den (og husk naturligvis også at bekræfte at det ikke bare er en falsk positiv)
GOOD LUCK EBOLA-CHAN
I LOVE YOU EBOLA-CHAN |
|||
|
User(s) browsing this thread: 2 Gæst(er)