Discussione Bug Bounty: cosa sono e come partecipare nel 2023

0xbro

Super Moderatore
24 Febbraio 2017
4,471
180
3,833
1,825
Ultima modifica:
In questo articolo approfondiremo cosa sono i Bug Bounty Program, come si partecipi ad essi, quale sia il loro funzionamento e quali le ricompense offerte.

simon-hattinga-verschure-WNevBlZWCKA-unsplash.png


Bug Bounty: quando l'hacking contro grandi aziende diventa legale​

Tempo di lettura stimato: 3 min​






1    Che cos'è un programma Bug Bounty

Un programma bug bounty è un accordo offerto da numerose aziende, siti web e sviluppatori per cui viene concessa la possibilità a chiunque di ricercare bug, vulnerabilità e falle di sicurezza nei prodotti/servizi proposti, in cambio di un riconoscimento (spesso monetario) da parte dei possessori di tali servizi. In altre parole, un bug bounty program è un'attività per cui è consentito hackerare eticamente (cioè senza recare danni, rubare informazioni o diffondere anzitempo i propri ritrovamenti) compagnie, siti web e apparati informatici in cambio di ricompense.

Questi programmi permettono agli sviluppatori/amministratori di sistema di scoprire e risolvere i bug prima che il grande pubblico ne venga a conoscenza, evitando incidenti di sicurezza causati da uno sfruttamento diffuso del bug. Ad oggi questi programmi sono molto diffusi, soprattutto tra le grandi aziende: tra i big che hanno aderito a queste iniziative troviamo Google, Facebook, Mozilla e tanti altri.​


2    Dove trovo i programmi attualmente attivi


136009.png


Uno dei siti più famosi e utilizzati è indubbiamente Bugcrowd. A questo portale si appoggiano numerose aziende, sia di piccole che grandi dimensioni, ed è sicuramente uno dei portali da cui partire per le proprie ricerche!

1603897992830


Un secondo sito molto rinomato è HackerOne. Come per Bugcrowd, anche HackerOne è uno dei migliori punti di riferimento per quanto riguarda le attività di bug hunting, permettendo di trovare numerose opportunità ma al contempo altrettanti rivali da battere sul tempo!​

0*xIyiIJFGBDv-juxj.png


Intigriti è una piattaforma di bug bounty divenuta molto popolare negli ultimi anni nonché punto di riferimento per il mercato europeo. Al momento hanno più di 400 programmi attivi, un payout totale di circa € 9 mln e più di 70k di ricercatori iscritti. Oltre a questo, Intigriti è anche molto attiva sui social e ha una community molto vasta e interattiva, con challenge rilasciate in base settimanale, eventi e tanto altro.​

Altre piattaforme degne di nota e attualmente attive sono

3    Chi può partecipare

In genere i Bug Bounty sono aperti a tutti, l'unico requisito è quello di essere iscritti alla piattaforma dedicata (che può essere Bugcrowd così come HackerOne, ecc.). Nient'altro. Esistono anche programmi ristretti ai quali si può partecipare solamente tramite invito, ma tutto il resto è a disposizione del grande pubblico. Ovviamente però per venir premiati non serve solo partecipare, servono skills e velocità! Una vulnerabilità è lì per tutti, ma solo il primo che la trova riceverà il grande premio!​


4    Le ricompense

I premi variano da azienda ad azienda e da vulnerabilità a vulnerabilità, ma in linea di massima si passa da poche centinaia di dollari a molte migliaia, come nel caso del ricercatore indipendente che trovò una vulnerabilità di account takeover su Microsoft:​

Per quanto le ricompense siano molto succose, bisogna sempre tenere in considerazione che si tratta di una gara contro altri ricercatori e talvolta addirittura altre aziende (sì, ci sono aziende che fanno solamente - o in parte - bug hunting).

Si può pensare che questa attività basti come unico lavoro primario? O è necessariamente un lavoro secondario?

Possono esserci mesi in cui la caccia va bene e si totalizzano somme di denaro superiori a uno stipendio medio, ma è possibile mantenere un alto livello per numerosi periodi di tempo? Probabilmente sì, c'è gente che campa solo di Bug Bounty, ma non penso che sia una dote alla portata di tutti!​

Voi cosa ne pensate? Avete mai provato a fare bug bounty? Vorreste provare?

Fatemelo sapere nei commenti!

Ah, giusto... buona caccia!




Made with ❤ for Inforge

 
Ne avevo sentito parlare ma non avevo mai approfondito l'argomento.
E' molto interessante come argomento e mi rendo conto che parliamo di squadre di Hacker che collaborano tra di loro, non è un "passatempo"...

Secondo me questo tipo di Hacking è bello quando lo fai per passione, ovviamente la ricompensa è necessaria, ma farlo come lavoro primario potrebbe diventare decisamente stressante e personalmente non lo farei.

"Diventare Hacker per uno stipendio" no.
"Amare la materia e provare cose nuove" si.

Tanto qualunque cosa, se fatta bene, porta le sue entrate...
 
ma farlo come lavoro primario potrebbe diventare decisamente stressante e personalmente non lo farei.

"Diventare Hacker per uno stipendio" no.
"Amare la materia e provare cose nuove" si.
Quoto totalmente.

Vedevo persone ostentare quanto avessero guadagnato attraverso i bounties da parte di alcune aziende (tra cui Facebook, Google & co.), non parlo di poche migliaia di euro. Mi reputavo (e mi reputo) più esperto di queste persone nella cybersecurity, ed essendo molto allettato economicamente data la mia giovane età mi sono addentrato nel settore per palpare meglio il bug hunting.
Inizio... e tiè, segnalo la prima vulnerabilità alla Rockstar Games. Approvata e fixata poco dopo, ma era out of scope (nel bug bounty program specificano in quali domini fare bug hunting).
Ritento... e *leggerissimo rullo di tamburi* segnalo la seconda vulnerabilità ad Algolia. Approvata con disclosure e fixata, in scope (mi hanno dato l'hall of fame ma non il bounty, che lucky guy).

Lo puoi fare tu, lo posso fare io e lo può fare 0xbro. Magari io me la cavo ma ho un'infima pazienza e proprio per questo la maggior parte delle volte non concludo nulla. È solo questione di pazienza e fortuna: se hai pazienza con la pratica riesci a supplire alle tue mancanze nell'hacking, e se hai fortuna fai pure poker e ti danno la ricompensa. Non fa per me.
 
  • Mi piace
Reazioni: St3ve e 0xbro
Inizio... e tiè, segnalo la prima vulnerabilità alla Rockstar Games. Approvata e fixata poco dopo, ma era out of scope (nel bug bounty program specificano in quali domini fare bug hunting).
Ritento... e *leggerissimo rullo di tamburi* segnalo la seconda vulnerabilità ad Algolia. Approvata con disclosure e fixata, in scope (mi hanno dato l'hall of fame ma non il bounty, che lucky guy).
Azz che fortuna ahahaha

Sono d'accordo comunque, ci va davvero tanta pazienza e se poi capita che trovi qualcosa, dopo ore di fatica e scleri, e non te la riconoscono (oppure la fixano e non ti danno nulla) beh... girano e non parecchio.
A quel punto forse diventa più soddisfacente mettersi a fare ricerche autonome e magari cercare di farsi riconoscere qualche CVE
 
orrjP9l.jpg


Bug Bounty: quando l'hacking contro grandi aziende diventa legale​

Tempo di lettura stimato: 3 min​






1    Che cos'è un programma Bug Bounty

Un programma bug bounty è un accordo offerto da numerose aziende, siti web e sviluppatori per cui viene concessa la possibilità a chiunque di ricercare bug, vulnerabilità e falle di sicurezza nei prodotti/servizi proposti, in cambio di un riconoscimento (spesso monetario) da parte dei possessori di tali servizi. In altre parole, un bug bounty program è un'attività per cui è consentito hackerare eticamente (cioè senza recare danni, rubare informazioni o diffondere anzitempo i propri ritrovamenti) compagnie, siti web e apparati informatici in cambio di ricompense.

Questi programmi permettono agli sviluppatori/amministratori di sistema di scoprire e risolvere i bug prima che il grande pubblico ne venga a conoscenza, evitando incidenti di sicurezza causati da uno sfruttamento diffuso del bug. Ad oggi questi programmi sono molto diffusi, soprattutto tra le grandi aziende: tra i big che hanno aderito a queste iniziative troviamo Google, Facebook, Mozilla e tanti altri.​


2    Dove trovo i programmi attualmente attivi

Press-Kit-Transparent-Bugcrowd-Logo.png

Uno dei siti più famosi e utilizzati è indubbiamente Bugcrowd. A questo portale si appoggiano numerose aziende, sia di piccole che grandi dimensioni, ed è sicuramente uno dei portali da cui partire per le proprie ricerche!

1603897992830


Un secondo sito molto rinomato è HackerOne. Come per Bugcrowd, anche HackerOne è uno dei migliori punti di riferimento per quanto riguarda le attività di bug hunting, permettendo di trovare numerose opportunità ma al contempo altrettanti rivali da battere sul tempo!​


3    Chi può partecipare

In genere i Bug Bounty sono aperti a tutti, l'unico requisito è quello di essere iscritti alla piattaforma dedicata (che può essere Bugcrowd così come HackerOne, ecc.). Nient'altro. Esistono anche programmi ristretti ai quali si può partecipare solamente tramite invito, ma tutto il resto è a disposizione del grande pubblico.
Ovviamente però per venir premiati non serve solo partecipare, servono skills e velocità! Una vulnerabilità è lì per tutti, ma solo il primo che la trova riceverà il grande premio!​


4    Le ricompense

I premi variano da azienda ad azienda e da vulnerabilità a vulnerabilità, ma in linea di massima si passa da poche centinaia di dollari a molte migliaia, come nel caso del ricercatore indipendente che trovò una vulnerabilità di account takeover su Microsoft:

Per quanto le ricompense siano molto succose, bisogna sempre tenere in considerazione che si tratta di una gara contro altri ricercatori e talvota addirittura altre aziende (sì, ci sono aziende che fanno solamente - o in parte - bug hunting).
Si può pensare che questa attività basti come unico lavoro primario? O è necessarimente un lavoro secondario?
Possono esserci mesi in cui la caccia va bene e si totalizzano somme di denaro superiori a uno stipendio medio, ma è possibile mantenere un alto livello per numerosi periodi di tempo? Probabilmente sì, c'è gente che campa solo di Bug Bounty, ma non penso che sia una dote alla portata di tutti!​

Voi cosa ne pensate? Avete mai provato a fare bug bounty? Vorreste provare?

Fatemelo sapere nei commenti!

Ah, giusto... buona caccia!




Made with ❤ for Inforge

Grande! Bellissimo approfondire questo argomento, ne sapevo poco e mi hai dato diverse informazioni interessanti ;)
 
Il bug bounty è valido anche se riesci a bypassare un antivirus o se riesci a craccare un programma?
 
Ma le aziende come inquadrano fiscalmente questa rincompensa? Attraverso un concorso? In italia non si possono ricevere premi in denaro. Se mandano soldi normalmente poi bisogna dichiarare con una partita iva e pagarci le tasse.
 
Ma le aziende come inquadrano fiscalmente questa rincompensa? Attraverso un concorso? In italia non si possono ricevere premi in denaro. Se mandano soldi normalmente poi bisogna dichiarare con una partita iva e pagarci le tasse.
Fino a 5k annui non serve partita IVA, ti fai fare una ritenuta d'acconto e sei in regola. Dopo i 5k serve però la partita IVA
 
Fino a 5k annui non serve partita IVA, ti fai fare una ritenuta d'acconto e sei in regola. Dopo i 5k serve però la partita IVA
Interessante, pero' e' anche vero che "i premi derivanti da prove di abilità o dalla sorte" costituiscono reddito per intero: quindi, trattandosi di una competizione tra hackers dove chi si classifica primo potrebbe ricevere un premio, mi pare strano il dover aprire e sostenere i costi di una P.IVA per incassarli, anziche' dichiararli come un tuo reddito.
 
Interessante, pero' e' anche vero che "i premi derivanti da prove di abilità o dalla sorte" costituiscono reddito per intero: quindi, trattandosi di una competizione tra hackers dove chi si classifica primo potrebbe ricevere un premio, mi pare strano il dover aprire e sostenere i costi di una P.IVA per incassarli, anziche' dichiararli come un tuo reddito.
Effettivamente hai ragione anche tu, sinceramente non essendomi mai capitato non ho mai approfondito la questione. E' un po' come il discorso degli YouTuber, che non hanno una collocazione fissa nel mondo del lavoro, e lo stesso accade qui. Effettivamente forse basta dichiararli come "premi", però non saprei proprio
 
Ciao A tutti, io da poco mi sono avvicinato alla Cyber Security, e mi sto appassionando al ramo delle Web App. Sto cercando di studiare vari linguaggi di programmazione ed altro e mi interessano i Bug Bounty. Per questo mi sono visto tantissimi tutorial in merito su you tube. Ma il risultato è che mi hanno creato della confusione in testa. Ora mi sorgono molte domande in merito:
Perchè dicono di non usare programmi come Nessus per ricerca delle vulnerabilità? e poi tra mille tools visti, quali sono i tools ideali per ricerca di subdomain, ricerca di vulnerabilità etc. So che sembrano banali le mie domande (spero comprendiate che sono solo all'inizio), ma tutto il materiale che ho visto mi ha creato tanta confusione. Spero che qualcuno possa chiarirmi le idee..... Grazie a tutti in anticipo e per la comprensione che sono un novizio.. Ciaoo
 
Ciao A tutti, io da poco mi sono avvicinato alla Cyber Security, e mi sto appassionando al ramo delle Web App. Sto cercando di studiare vari linguaggi di programmazione ed altro e mi interessano i Bug Bounty. Per questo mi sono visto tantissimi tutorial in merito su you tube. Ma il risultato è che mi hanno creato della confusione in testa. Ora mi sorgono molte domande in merito:
Perchè dicono di non usare programmi come Nessus per ricerca delle vulnerabilità? e poi tra mille tools visti, quali sono i tools ideali per ricerca di subdomain, ricerca di vulnerabilità etc. So che sembrano banali le mie domande (spero comprendiate che sono solo all'inizio), ma tutto il materiale che ho visto mi ha creato tanta confusione. Spero che qualcuno possa chiarirmi le idee..... Grazie a tutti in anticipo e per la comprensione che sono un novizio.. Ciaoo
Si vieta l'utilizzo di Nessus, OpenVas, addirittura nikto, perchè sono tutti vulnerability scanner che generano troppo rumore e fanno scattare allarmi sui sistemi testati. In genere non si soffermano solo sulla parte web, ma fanno interi full port scan e ricercano vulnerabilità anche su altri protocolli, rischiando di andare Out of Scope. Sono strumenti potenti ma non sempre customizzabili al massimo e, se non si sa come configurarli correttamente, sono più i danni che si rischiano di fare (soprattutto in ambienti nel mondo reale) che i benefici che portano.

Sicuramente i tools più utili per fare web application testing sono burpsuite PRO (o la community edition/OWASP ZAP), un directory buster a tua scelta (c'è chi preferisce gobuster come me, chi usa ffuf o altri), potenzialmente sqlmap, shodan, le google dorks e qualche tool per fare subdomain enumeration (anche qui ne esistono diversi, trova quello che più piace a te, non esiste uno standard). Dopodichè valuta tu se, in base al sito che trovi o alla ricerca che devi fare, tu abbia bisogno di qualche altro tool oppure no
 
  • Mi piace
Reazioni: Michy30
orrjP9l.jpg


Bug Bounty: quando l'hacking contro grandi aziende diventa legale​

Tempo di lettura stimato: 3 min​






1    Che cos'è un programma Bug Bounty

Un programma bug bounty è un accordo offerto da numerose aziende, siti web e sviluppatori per cui viene concessa la possibilità a chiunque di ricercare bug, vulnerabilità e falle di sicurezza nei prodotti/servizi proposti, in cambio di un riconoscimento (spesso monetario) da parte dei possessori di tali servizi. In altre parole, un bug bounty program è un'attività per cui è consentito hackerare eticamente (cioè senza recare danni, rubare informazioni o diffondere anzitempo i propri ritrovamenti) compagnie, siti web e apparati informatici in cambio di ricompense.

Questi programmi permettono agli sviluppatori/amministratori di sistema di scoprire e risolvere i bug prima che il grande pubblico ne venga a conoscenza, evitando incidenti di sicurezza causati da uno sfruttamento diffuso del bug. Ad oggi questi programmi sono molto diffusi, soprattutto tra le grandi aziende: tra i big che hanno aderito a queste iniziative troviamo Google, Facebook, Mozilla e tanti altri.​


2    Dove trovo i programmi attualmente attivi

Press-Kit-Transparent-Bugcrowd-Logo.png

Uno dei siti più famosi e utilizzati è indubbiamente Bugcrowd. A questo portale si appoggiano numerose aziende, sia di piccole che grandi dimensioni, ed è sicuramente uno dei portali da cui partire per le proprie ricerche!

1603897992830


Un secondo sito molto rinomato è HackerOne. Come per Bugcrowd, anche HackerOne è uno dei migliori punti di riferimento per quanto riguarda le attività di bug hunting, permettendo di trovare numerose opportunità ma al contempo altrettanti rivali da battere sul tempo!​


3    Chi può partecipare

In genere i Bug Bounty sono aperti a tutti, l'unico requisito è quello di essere iscritti alla piattaforma dedicata (che può essere Bugcrowd così come HackerOne, ecc.). Nient'altro. Esistono anche programmi ristretti ai quali si può partecipare solamente tramite invito, ma tutto il resto è a disposizione del grande pubblico.
Ovviamente però per venir premiati non serve solo partecipare, servono skills e velocità! Una vulnerabilità è lì per tutti, ma solo il primo che la trova riceverà il grande premio!​


4    Le ricompense

I premi variano da azienda ad azienda e da vulnerabilità a vulnerabilità, ma in linea di massima si passa da poche centinaia di dollari a molte migliaia, come nel caso del ricercatore indipendente che trovò una vulnerabilità di account takeover su Microsoft:

Per quanto le ricompense siano molto succose, bisogna sempre tenere in considerazione che si tratta di una gara contro altri ricercatori e talvota addirittura altre aziende (sì, ci sono aziende che fanno solamente - o in parte - bug hunting).
Si può pensare che questa attività basti come unico lavoro primario? O è necessarimente un lavoro secondario?
Possono esserci mesi in cui la caccia va bene e si totalizzano somme di denaro superiori a uno stipendio medio, ma è possibile mantenere un alto livello per numerosi periodi di tempo? Probabilmente sì, c'è gente che campa solo di Bug Bounty, ma non penso che sia una dote alla portata di tutti!​

Voi cosa ne pensate? Avete mai provato a fare bug bounty? Vorreste provare?

Fatemelo sapere nei commenti!

Ah, giusto... buona caccia!




Made with ❤ for Inforge

La ricerca dei bug molte volte viene premiata delle aziende tranne alcune che sono davvero scortesi e manco ringraziano
 
orrjP9l.jpg


Bug Bounty: quando l'hacking contro grandi aziende diventa legale​

Tempo di lettura stimato: 3 min​






1    Che cos'è un programma Bug Bounty

Un programma bug bounty è un accordo offerto da numerose aziende, siti web e sviluppatori per cui viene concessa la possibilità a chiunque di ricercare bug, vulnerabilità e falle di sicurezza nei prodotti/servizi proposti, in cambio di un riconoscimento (spesso monetario) da parte dei possessori di tali servizi. In altre parole, un bug bounty program è un'attività per cui è consentito hackerare eticamente (cioè senza recare danni, rubare informazioni o diffondere anzitempo i propri ritrovamenti) compagnie, siti web e apparati informatici in cambio di ricompense.

Questi programmi permettono agli sviluppatori/amministratori di sistema di scoprire e risolvere i bug prima che il grande pubblico ne venga a conoscenza, evitando incidenti di sicurezza causati da uno sfruttamento diffuso del bug. Ad oggi questi programmi sono molto diffusi, soprattutto tra le grandi aziende: tra i big che hanno aderito a queste iniziative troviamo Google, Facebook, Mozilla e tanti altri.​


2    Dove trovo i programmi attualmente attivi

Press-Kit-Transparent-Bugcrowd-Logo.png

Uno dei siti più famosi e utilizzati è indubbiamente Bugcrowd. A questo portale si appoggiano numerose aziende, sia di piccole che grandi dimensioni, ed è sicuramente uno dei portali da cui partire per le proprie ricerche!

1603897992830


Un secondo sito molto rinomato è HackerOne. Come per Bugcrowd, anche HackerOne è uno dei migliori punti di riferimento per quanto riguarda le attività di bug hunting, permettendo di trovare numerose opportunità ma al contempo altrettanti rivali da battere sul tempo!​


3    Chi può partecipare

In genere i Bug Bounty sono aperti a tutti, l'unico requisito è quello di essere iscritti alla piattaforma dedicata (che può essere Bugcrowd così come HackerOne, ecc.). Nient'altro. Esistono anche programmi ristretti ai quali si può partecipare solamente tramite invito, ma tutto il resto è a disposizione del grande pubblico.
Ovviamente però per venir premiati non serve solo partecipare, servono skills e velocità! Una vulnerabilità è lì per tutti, ma solo il primo che la trova riceverà il grande premio!​


4    Le ricompense

I premi variano da azienda ad azienda e da vulnerabilità a vulnerabilità, ma in linea di massima si passa da poche centinaia di dollari a molte migliaia, come nel caso del ricercatore indipendente che trovò una vulnerabilità di account takeover su Microsoft:

Per quanto le ricompense siano molto succose, bisogna sempre tenere in considerazione che si tratta di una gara contro altri ricercatori e talvota addirittura altre aziende (sì, ci sono aziende che fanno solamente - o in parte - bug hunting).
Si può pensare che questa attività basti come unico lavoro primario? O è necessarimente un lavoro secondario?
Possono esserci mesi in cui la caccia va bene e si totalizzano somme di denaro superiori a uno stipendio medio, ma è possibile mantenere un alto livello per numerosi periodi di tempo? Probabilmente sì, c'è gente che campa solo di Bug Bounty, ma non penso che sia una dote alla portata di tutti!​

Voi cosa ne pensate? Avete mai provato a fare bug bounty? Vorreste provare?

Fatemelo sapere nei commenti!

Ah, giusto... buona caccia!




Made with ❤ for Inforge

Salve a tutti, avrei una domanda a proposito: so che queste aziende si aspettano attacchi in quanto creano appositamente programmi di bug bounty, e consequenzialmente ammettendo che una qualsiasi persona provi a scovare bug non è passibile di denuncia. Ma fino a che punto arriva questo? Cerco di spiegarmi ancora meglio: ammettendo di provare a trovare delle vulnerabilità ovviamente non si deve causare danni alle aziende(tipo DDos o robe simili non sono considerati bug e causano solo danni), ma ci sono alcuni passi essenziali da cui non si può prescindere e che comunque vengono considerati attacchi, come ad esempio il portscanning in maniera syn scan, che è secondo me un valido strumento ma che viene considerato un attacco, passibile di denuncia. Quindi a questo punto mi chiedo è necessario usare un ottimo livello di anonimato e inoltre si rischia qualcosa partecipando a questi programmi?
 
Quindi a questo punto mi chiedo è necessario usare un ottimo livello di anonimato e inoltre si rischia qualcosa partecipando a questi programmi?
No, non è necessario mantenere l'anonimato e non si rischia nulla (a meno che davvero non ti spingi troppo oltre, del tipo rubando file).
Quanto queste aziende registrano i propri siti/portali sulle piattaforme di bug bounty, stanno accettando che su questi siti un attaccante possa fare - in pratica - quasi tutto quello che vuole.

In genere ci sono delle regole da seguire, pubblicate appunto dalle aziende, in cui viene specificato lo Scope (quindi cosa può essere attaccato e cosa no) e le tecniche da utilizzare (in generale tutto ciò che non causa DoS o DDoS). Se rispetti queste regole, non hai da preoccuparti perchè sono le aziende stesse che stanno accettando di essere attaccate. Spesso però capita che i Bug Bounter si spingano anche Out-of-Scope, alla ricerca di altre falle... in teoria sarebbero passibili di denuncia da parte delle aziende, perciò a loro conviene mantenere l'anonimato, ma la verità è che non capita praticamente mai che si venga portati in tribunale... Il massimo che può accadere è che tu comunichi a loro una falla e che loro la fixino senza pagarti perchè appunto era out-of-scope.

Il discorso diventa più complesso quando si trovano falle che permettono di fare RCE o LFI. In questi casi, visto che potenzialmente si potrebbe accedere a dati riservati o sensibili, sarebbe bene tenere una timeline di ciò che è stato svolto, dei file a cui si ha avuto accesso, ecc. L'ideale sarebbe testare le vulnerabilità utilizzando file di natura non riservata (in modo che se si ottiene l'accesso a questi file, non si ha ottenuto l'accesso a info riservate).
 
  • Mi piace
Reazioni: s0ac
No, non è necessario mantenere l'anonimato e non si rischia nulla (a meno che davvero non ti spingi troppo oltre, del tipo rubando file).
Quanto queste aziende registrano i propri siti/portali sulle piattaforme di bug bounty, stanno accettando che su questi siti un attaccante possa fare - in pratica - quasi tutto quello che vuole.

In genere ci sono delle regole da seguire, pubblicate appunto dalle aziende, in cui viene specificato lo Scope (quindi cosa può essere attaccato e cosa no) e le tecniche da utilizzare (in generale tutto ciò che non causa DoS o DDoS). Se rispetti queste regole, non hai da preoccuparti perchè sono le aziende stesse che stanno accettando di essere attaccate. Spesso però capita che i Bug Bounter si spingano anche Out-of-Scope, alla ricerca di altre falle... in teoria sarebbero passibili di denuncia da parte delle aziende, perciò a loro conviene mantenere l'anonimato, ma la verità è che non capita praticamente mai che si venga portati in tribunale... Il massimo che può accadere è che tu comunichi a loro una falla e che loro la fixino senza pagarti perchè appunto era out-of-scope.

Il discorso diventa più complesso quando si trovano falle che permettono di fare RCE o LFI. In questi casi, visto che potenzialmente si potrebbe accedere a dati riservati o sensibili, sarebbe bene tenere una timeline di ciò che è stato svolto, dei file a cui si ha avuto accesso, ecc. L'ideale sarebbe testare le vulnerabilità utilizzando file di natura non riservata (in modo che se si ottiene l'accesso a questi file, non si ha ottenuto l'accesso a info riservate).
Ti ringrazio molto, sei stato chiarissimo. Nel dubbio però un pò di anonimato lo terrò sempre ahahahahha