Discussione Bug Bounty: cosa sono e come partecipare

0xbro

Moderatore
24 Febbraio 2017
3,546
137
2,209
1,360
Ultima modifica:
In questo articolo approfondiremo cosa sono i Bug Bounty Program, come si partecipi ad essi, quale sia il loro funzionamento e quali le ricompense offerte.

orrjP9l.jpg


Bug Bounty: quando l'hacking contro grandi aziende diventa legale​

Tempo di lettura stimato: 3 min​






1    Che cos'è un programma Bug Bounty

Un programma bug bounty è un accordo offerto da numerose aziende, siti web e sviluppatori per cui viene concessa la possibilità a chiunque di ricercare bug, vulnerabilità e falle di sicurezza nei prodotti/servizi proposti, in cambio di un riconoscimento (spesso monetario) da parte dei possessori di tali servizi. In altre parole, un bug bounty program è un'attività per cui è consentito hackerare eticamente (cioè senza recare danni, rubare informazioni o diffondere anzitempo i propri ritrovamenti) compagnie, siti web e apparati informatici in cambio di ricompense.

Questi programmi permettono agli sviluppatori/amministratori di sistema di scoprire e risolvere i bug prima che il grande pubblico ne venga a conoscenza, evitando incidenti di sicurezza causati da uno sfruttamento diffuso del bug. Ad oggi questi programmi sono molto diffusi, soprattutto tra le grandi aziende: tra i big che hanno aderito a queste iniziative troviamo Google, Facebook, Mozilla e tanti altri.​


2    Dove trovo i programmi attualmente attivi

Press-Kit-Transparent-Bugcrowd-Logo.png

Uno dei siti più famosi e utilizzati è indubbiamente Bugcrowd. A questo portale si appoggiano numerose aziende, sia di piccole che grandi dimensioni, ed è sicuramente uno dei portali da cui partire per le proprie ricerche!

1603897992830


Un secondo sito molto rinomato è HackerOne. Come per Bugcrowd, anche HackerOne è uno dei migliori punti di riferimento per quanto riguarda le attività di bug hunting, permettendo di trovare numerose opportunità ma al contempo altrettanti rivali da battere sul tempo!​


3    Chi può partecipare

In genere i Bug Bounty sono aperti a tutti, l'unico requisito è quello di essere iscritti alla piattaforma dedicata (che può essere Bugcrowd così come HackerOne, ecc.). Nient'altro. Esistono anche programmi ristretti ai quali si può partecipare solamente tramite invito, ma tutto il resto è a disposizione del grande pubblico.
Ovviamente però per venir premiati non serve solo partecipare, servono skills e velocità! Una vulnerabilità è lì per tutti, ma solo il primo che la trova riceverà il grande premio!​


4    Le ricompense

I premi variano da azienda ad azienda e da vulnerabilità a vulnerabilità, ma in linea di massima si passa da poche centinaia di dollari a molte migliaia, come nel caso del ricercatore indipendente che trovò una vulnerabilità di account takeover su Microsoft:

Per quanto le ricompense siano molto succose, bisogna sempre tenere in considerazione che si tratta di una gara contro altri ricercatori e talvota addirittura altre aziende (sì, ci sono aziende che fanno solamente - o in parte - bug hunting).
Si può pensare che questa attività basti come unico lavoro primario? O è necessarimente un lavoro secondario?
Possono esserci mesi in cui la caccia va bene e si totalizzano somme di denaro superiori a uno stipendio medio, ma è possibile mantenere un alto livello per numerosi periodi di tempo? Probabilmente sì, c'è gente che campa solo di Bug Bounty, ma non penso che sia una dote alla portata di tutti!​

Voi cosa ne pensate? Avete mai provato a fare bug bounty? Vorreste provare?

Fatemelo sapere nei commenti!

Ah, giusto... buona caccia!




Made with ❤ for Inforge

 

NoNameoN

Utente Emerald
28 Marzo 2020
511
54
1,102
618
Ne avevo sentito parlare ma non avevo mai approfondito l'argomento.
E' molto interessante come argomento e mi rendo conto che parliamo di squadre di Hacker che collaborano tra di loro, non è un "passatempo"...

Secondo me questo tipo di Hacking è bello quando lo fai per passione, ovviamente la ricompensa è necessaria, ma farlo come lavoro primario potrebbe diventare decisamente stressante e personalmente non lo farei.

"Diventare Hacker per uno stipendio" no.
"Amare la materia e provare cose nuove" si.

Tanto qualunque cosa, se fatta bene, porta le sue entrate...
 
  • Mi piace
Reactions: AnDr3A DAL3 e 0xbro

nullptr

Utente Emerald
26 Novembre 2015
1,099
23
362
351
ma farlo come lavoro primario potrebbe diventare decisamente stressante e personalmente non lo farei.

"Diventare Hacker per uno stipendio" no.
"Amare la materia e provare cose nuove" si.
Quoto totalmente.

Vedevo persone ostentare quanto avessero guadagnato attraverso i bounties da parte di alcune aziende (tra cui Facebook, Google & co.), non parlo di poche migliaia di euro. Mi reputavo (e mi reputo) più esperto di queste persone nella cybersecurity, ed essendo molto allettato economicamente data la mia giovane età mi sono addentrato nel settore per palpare meglio il bug hunting.
Inizio... e tiè, segnalo la prima vulnerabilità alla Rockstar Games. Approvata e fixata poco dopo, ma era out of scope (nel bug bounty program specificano in quali domini fare bug hunting).
Ritento... e *leggerissimo rullo di tamburi* segnalo la seconda vulnerabilità ad Algolia. Approvata con disclosure e fixata, in scope (mi hanno dato l'hall of fame ma non il bounty, che lucky guy).

Lo puoi fare tu, lo posso fare io e lo può fare 0xbro. Magari io me la cavo ma ho un'infima pazienza e proprio per questo la maggior parte delle volte non concludo nulla. È solo questione di pazienza e fortuna: se hai pazienza con la pratica riesci a supplire alle tue mancanze nell'hacking, e se hai fortuna fai pure poker e ti danno la ricompensa. Non fa per me.
 
  • Mi piace
Reactions: St3ve e 0xbro
DOWNLOAD
Aquarifoundation.com: Investi in un oceano pulito

0xbro

Moderatore
24 Febbraio 2017
3,546
137
2,209
1,360
Inizio... e tiè, segnalo la prima vulnerabilità alla Rockstar Games. Approvata e fixata poco dopo, ma era out of scope (nel bug bounty program specificano in quali domini fare bug hunting).
Ritento... e *leggerissimo rullo di tamburi* segnalo la seconda vulnerabilità ad Algolia. Approvata con disclosure e fixata, in scope (mi hanno dato l'hall of fame ma non il bounty, che lucky guy).
Azz che fortuna ahahaha

Sono d'accordo comunque, ci va davvero tanta pazienza e se poi capita che trovi qualcosa, dopo ore di fatica e scleri, e non te la riconoscono (oppure la fixano e non ti danno nulla) beh... girano e non parecchio.
A quel punto forse diventa più soddisfacente mettersi a fare ricerche autonome e magari cercare di farsi riconoscere qualche CVE
 

Thomas Shelby

Utente Emerald
28 Giugno 2020
1,515
26
584
445
orrjP9l.jpg


Bug Bounty: quando l'hacking contro grandi aziende diventa legale​

Tempo di lettura stimato: 3 min​






1    Che cos'è un programma Bug Bounty

Un programma bug bounty è un accordo offerto da numerose aziende, siti web e sviluppatori per cui viene concessa la possibilità a chiunque di ricercare bug, vulnerabilità e falle di sicurezza nei prodotti/servizi proposti, in cambio di un riconoscimento (spesso monetario) da parte dei possessori di tali servizi. In altre parole, un bug bounty program è un'attività per cui è consentito hackerare eticamente (cioè senza recare danni, rubare informazioni o diffondere anzitempo i propri ritrovamenti) compagnie, siti web e apparati informatici in cambio di ricompense.

Questi programmi permettono agli sviluppatori/amministratori di sistema di scoprire e risolvere i bug prima che il grande pubblico ne venga a conoscenza, evitando incidenti di sicurezza causati da uno sfruttamento diffuso del bug. Ad oggi questi programmi sono molto diffusi, soprattutto tra le grandi aziende: tra i big che hanno aderito a queste iniziative troviamo Google, Facebook, Mozilla e tanti altri.​


2    Dove trovo i programmi attualmente attivi

Press-Kit-Transparent-Bugcrowd-Logo.png

Uno dei siti più famosi e utilizzati è indubbiamente Bugcrowd. A questo portale si appoggiano numerose aziende, sia di piccole che grandi dimensioni, ed è sicuramente uno dei portali da cui partire per le proprie ricerche!

1603897992830


Un secondo sito molto rinomato è HackerOne. Come per Bugcrowd, anche HackerOne è uno dei migliori punti di riferimento per quanto riguarda le attività di bug hunting, permettendo di trovare numerose opportunità ma al contempo altrettanti rivali da battere sul tempo!​


3    Chi può partecipare

In genere i Bug Bounty sono aperti a tutti, l'unico requisito è quello di essere iscritti alla piattaforma dedicata (che può essere Bugcrowd così come HackerOne, ecc.). Nient'altro. Esistono anche programmi ristretti ai quali si può partecipare solamente tramite invito, ma tutto il resto è a disposizione del grande pubblico.
Ovviamente però per venir premiati non serve solo partecipare, servono skills e velocità! Una vulnerabilità è lì per tutti, ma solo il primo che la trova riceverà il grande premio!​


4    Le ricompense

I premi variano da azienda ad azienda e da vulnerabilità a vulnerabilità, ma in linea di massima si passa da poche centinaia di dollari a molte migliaia, come nel caso del ricercatore indipendente che trovò una vulnerabilità di account takeover su Microsoft:

Per quanto le ricompense siano molto succose, bisogna sempre tenere in considerazione che si tratta di una gara contro altri ricercatori e talvota addirittura altre aziende (sì, ci sono aziende che fanno solamente - o in parte - bug hunting).
Si può pensare che questa attività basti come unico lavoro primario? O è necessarimente un lavoro secondario?
Possono esserci mesi in cui la caccia va bene e si totalizzano somme di denaro superiori a uno stipendio medio, ma è possibile mantenere un alto livello per numerosi periodi di tempo? Probabilmente sì, c'è gente che campa solo di Bug Bounty, ma non penso che sia una dote alla portata di tutti!​

Voi cosa ne pensate? Avete mai provato a fare bug bounty? Vorreste provare?

Fatemelo sapere nei commenti!

Ah, giusto... buona caccia!




Made with ❤ for Inforge

Grande! Bellissimo approfondire questo argomento, ne sapevo poco e mi hai dato diverse informazioni interessanti ;)
 
U

Utente cancellato 275412

Il bug bounty è valido anche se riesci a bypassare un antivirus o se riesci a craccare un programma?
 
Aquarifoundation.com: Investi in un oceano pulito
Shiro is a big metin2 community server, 17.12.21

Colabrodo

Utente Silver
23 Ottobre 2016
107
16
23
64
Ma le aziende come inquadrano fiscalmente questa rincompensa? Attraverso un concorso? In italia non si possono ricevere premi in denaro. Se mandano soldi normalmente poi bisogna dichiarare con una partita iva e pagarci le tasse.
 

0xbro

Moderatore
24 Febbraio 2017
3,546
137
2,209
1,360
Ma le aziende come inquadrano fiscalmente questa rincompensa? Attraverso un concorso? In italia non si possono ricevere premi in denaro. Se mandano soldi normalmente poi bisogna dichiarare con una partita iva e pagarci le tasse.
Fino a 5k annui non serve partita IVA, ti fai fare una ritenuta d'acconto e sei in regola. Dopo i 5k serve però la partita IVA
 
Shiro is a big metin2 community server, 17.12.21
Aquarifoundation.com: Investi in un oceano pulito

n0pslid3r

Utente Iron
27 Giugno 2021
1
0
0
5
Fino a 5k annui non serve partita IVA, ti fai fare una ritenuta d'acconto e sei in regola. Dopo i 5k serve però la partita IVA
Interessante, pero' e' anche vero che "i premi derivanti da prove di abilità o dalla sorte" costituiscono reddito per intero: quindi, trattandosi di una competizione tra hackers dove chi si classifica primo potrebbe ricevere un premio, mi pare strano il dover aprire e sostenere i costi di una P.IVA per incassarli, anziche' dichiararli come un tuo reddito.
 

0xbro

Moderatore
24 Febbraio 2017
3,546
137
2,209
1,360
Interessante, pero' e' anche vero che "i premi derivanti da prove di abilità o dalla sorte" costituiscono reddito per intero: quindi, trattandosi di una competizione tra hackers dove chi si classifica primo potrebbe ricevere un premio, mi pare strano il dover aprire e sostenere i costi di una P.IVA per incassarli, anziche' dichiararli come un tuo reddito.
Effettivamente hai ragione anche tu, sinceramente non essendomi mai capitato non ho mai approfondito la questione. E' un po' come il discorso degli YouTuber, che non hanno una collocazione fissa nel mondo del lavoro, e lo stesso accade qui. Effettivamente forse basta dichiararli come "premi", però non saprei proprio
 

Michy30

Utente Iron
28 Luglio 2021
15
4
5
9
Ciao A tutti, io da poco mi sono avvicinato alla Cyber Security, e mi sto appassionando al ramo delle Web App. Sto cercando di studiare vari linguaggi di programmazione ed altro e mi interessano i Bug Bounty. Per questo mi sono visto tantissimi tutorial in merito su you tube. Ma il risultato è che mi hanno creato della confusione in testa. Ora mi sorgono molte domande in merito:
Perchè dicono di non usare programmi come Nessus per ricerca delle vulnerabilità? e poi tra mille tools visti, quali sono i tools ideali per ricerca di subdomain, ricerca di vulnerabilità etc. So che sembrano banali le mie domande (spero comprendiate che sono solo all'inizio), ma tutto il materiale che ho visto mi ha creato tanta confusione. Spero che qualcuno possa chiarirmi le idee..... Grazie a tutti in anticipo e per la comprensione che sono un novizio.. Ciaoo
 
Shiro is a big metin2 community server, 17.12.21
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker

0xbro

Moderatore
24 Febbraio 2017
3,546
137
2,209
1,360
Ciao A tutti, io da poco mi sono avvicinato alla Cyber Security, e mi sto appassionando al ramo delle Web App. Sto cercando di studiare vari linguaggi di programmazione ed altro e mi interessano i Bug Bounty. Per questo mi sono visto tantissimi tutorial in merito su you tube. Ma il risultato è che mi hanno creato della confusione in testa. Ora mi sorgono molte domande in merito:
Perchè dicono di non usare programmi come Nessus per ricerca delle vulnerabilità? e poi tra mille tools visti, quali sono i tools ideali per ricerca di subdomain, ricerca di vulnerabilità etc. So che sembrano banali le mie domande (spero comprendiate che sono solo all'inizio), ma tutto il materiale che ho visto mi ha creato tanta confusione. Spero che qualcuno possa chiarirmi le idee..... Grazie a tutti in anticipo e per la comprensione che sono un novizio.. Ciaoo
Si vieta l'utilizzo di Nessus, OpenVas, addirittura nikto, perchè sono tutti vulnerability scanner che generano troppo rumore e fanno scattare allarmi sui sistemi testati. In genere non si soffermano solo sulla parte web, ma fanno interi full port scan e ricercano vulnerabilità anche su altri protocolli, rischiando di andare Out of Scope. Sono strumenti potenti ma non sempre customizzabili al massimo e, se non si sa come configurarli correttamente, sono più i danni che si rischiano di fare (soprattutto in ambienti nel mondo reale) che i benefici che portano.

Sicuramente i tools più utili per fare web application testing sono burpsuite PRO (o la community edition/OWASP ZAP), un directory buster a tua scelta (c'è chi preferisce gobuster come me, chi usa ffuf o altri), potenzialmente sqlmap, shodan, le google dorks e qualche tool per fare subdomain enumeration (anche qui ne esistono diversi, trova quello che più piace a te, non esiste uno standard). Dopodichè valuta tu se, in base al sito che trovi o alla ricerca che devi fare, tu abbia bisogno di qualche altro tool oppure no
 
  • Mi piace
Reactions: Michy30