Domanda Bug bounty, sicurezza informatica e come iniziare

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
V

verdego

Utente Iron
5 Settembre 2019
11
7
0
18
Buongiorno a tutti, sono relativamente nuovo qua e in realtà sono diciamo un novizio anche nel bel mondo dell'informatica.
Da un po' di tempo a questa parte mi è venuto il pallino della sicurezza informatica, del pentesting e dei bug bounty programs.
La mia domanda è, se volessi iniziare a fare il "cacciatore di bug" da dove dovrei iniziare? Ovviamente sono conscio del fatto che non inizierò subito da li, ma quali sono i primi passi che voi consigliereste?
Per il momento la mia esperienza a riguardo si limita allo studio per la certificazione (non ancora presa) Comptia s+ e a qualche stanza fatta su tryhackme, quindi ritengo di essere piuttosto impreparato in materia.
Grazie a chi perderà qualche minuto per rispondete.
 
Se vuoi fare il bug bounty dovresti intanto studiare a pieno ma Proprio molto molto bene Diversi linguaggi di programmazione, almeno due o tre di alto livello e uno di basso livello come c++, perché ovviamente se vuoi trovare i bug devi conoscere il linguaggio, se poi vuoi fare il pentester, parti con debian (é una distro di linux) e poi installati i programmi che ti servono per fare le prove, e poi ti consiglio comunque di fare le prove su vm, non su sa mai..
 
  • Mi piace
Reazioni: verdego
astronomista ha detto:
Se vuoi fare il bug bounty dovresti intanto studiare a pieno ma Proprio molto molto bene Diversi linguaggi di programmazione, almeno due o tre di alto livello e uno di basso livello come c++, perché ovviamente se vuoi trovare i bug devi conoscere il linguaggio, se poi vuoi fare il pentester, parti con debian (é una distro di linux) e poi installati i programmi che ti servono per fare le prove, e poi ti consiglio comunque di fare le prove su vm, non su sa mai..
Clicca per espandere...
Ma il c++ non è un linguaggio di basso livello riporto la definizione "L'espressione si contrappone a "linguaggio di programmazione ad alto livello". Si può dire che i linguaggi di programmazione di basso livello sono orientati "alla macchina" (ovvero il loro scopo è di essere direttamente eseguibili dal processore, o di poter essere tradotti facilmente in programmi eseguibili dal processore), mentre i linguaggi ad alto livello sono orientati "al programmatore" (il loro scopo è quello di essere facilmente utilizzabili dai programmatori umani)."
 
  • Mi piace
Reazioni: 0xbro
verdego ha detto:
Buongiorno a tutti, sono relativamente nuovo qua e in realtà sono diciamo un novizio anche nel bel mondo dell'informatica.
Da un po' di tempo a questa parte mi è venuto il pallino della sicurezza informatica, del pentesting e dei bug bounty programs.
La mia domanda è, se volessi iniziare a fare il "cacciatore di bug" da dove dovrei iniziare? Ovviamente sono conscio del fatto che non inizierò subito da li, ma quali sono i primi passi che voi consigliereste?
Per il momento la mia esperienza a riguardo si limita allo studio per la certificazione (non ancora presa) Comptia s+ e a qualche stanza fatta su tryhackme, quindi ritengo di essere piuttosto impreparato in materia.
Grazie a chi perderà qualche minuto per rispondete.
Clicca per espandere...
Ciao! Come ben saprai per fare bug bounty serve più che altro tanta esperienza, ma quella ovviamente la si acquisisce solo sul campo ;)
Siccome si inizia dalle basi, ti consiglio di leggere e seguire il libro "Penetration Testing: A Hands-on Introduction to Hacking", copre molti argomenti tra cui buona parte di quelli dell'OSCP ;) Inoltre ti suggerisco di seguire questa release in modo da trovare quanto più materiale possibile.
La maggior parte dei programmi di bug bounty è su web application e siti web, quindi ti consiglio caldamente di prendere dimestichezza in quel settore (puoi leggere e seguire il libro "Hacklog vol.2" dove vengono spiegate le vulnerabilità più comuni lato Web) ed esercitarti con la macchine virtuale DVWA (viene usata anche come VM su cui fare esercizzi nel libro citato poco fa).
Inoltre per fare pratica puoi esercitarti su HackTheBox (quasi in ogni macchina c'è una parte lato web) oppure cercare delle macchine apposite su VulnHub.
Un altro possibile libro che potresti leggere è "A Bug Hunter's Diary: A Guided Tour Through the Wilds of Software Security" che sembra essere carino, ma non l'ho mai letto, oppure i vari libri sul bug bounty scritti dalla casa editrice "Packt" o in alternativa quelli dell'apogeo.

Infine per seguire i bugbounty ci sono diverse organizzazione che se ne occupano, che pubblicano aggiornamenti, siti, liste ecc.
Per citarne una, nonchè la più nota, c'è bugcrowd, o in alternativa HackerOne e altri

Potrà anche capitare di trovare bugbounty fatti su altre piattaforme che non siano web, lì starà a te decidere se specializzarti poi anche in altro oppure no.

PS. Per le certificazioni, se non te le richiedono a lavoro, evita più che puoi quelle puramente teoriche e concentrati di più su quelle pratiche, tipo quelle fornite da eLearnSecurity oppure dalla OffensiveSecurity... ne trai più guadagno tu e ti diverti di più ;)
 
  • Mi piace
Reazioni: verdego e A77ila
astronomista ha detto:
Se vuoi fare il bug bounty dovresti intanto studiare a pieno ma Proprio molto molto bene Diversi linguaggi di programmazione, almeno due o tre di alto livello e uno di basso livello come c++, perché ovviamente se vuoi trovare i bug devi conoscere il linguaggio, se poi vuoi fare il pentester, parti con debian (é una distro di linux) e poi installati i programmi che ti servono per fare le prove, e poi ti consiglio comunque di fare le prove su vm, non su sa mai..
Clicca per espandere...
Per il momento sto studiando python (complice anche il fatto che sono in stagione e non ho molto tempo), successivamente prenderò di nuovo in mano JavaScript magari, o anche php mi sembra interessante in quest'ambito.
C++ mi fa paura ahahah
 
verdego ha detto:
Per il momento sto studiando python (complice anche il fatto che sono in stagione e non ho molto tempo), successivamente prenderò di nuovo in mano JavaScript magari, o anche php mi sembra interessante in quest'ambito.
C++ mi fa paura ahahah
Clicca per espandere...
C++, C ecc. se non fai reversing o exploit developement non ti servono... Python fai bene, è molto utile in tutto, php è un must poichè gran parte dei siti la usa ;) Dopodichè studia anche SQL perchè le SQL injection sono molto pericolose e sono basate sul linguaggio SQL
 
0xbro ha detto:
Ciao! Come ben saprai per fare bug bounty serve più che altro tanta esperienza, ma quella ovviamente la si acquisisce solo sul campo ;)
Siccome si inizia dalle basi, ti consiglio di leggere e seguire il libro "Penetration Testing: A Hands-on Introduction to Hacking", copre molti argomenti tra cui buona parte di quelli dell'OSCP ;) Inoltre ti suggerisco di seguire questa release in modo da trovare quanto più materiale possibile.
La maggior parte dei programmi di bug bounty è su web application e siti web, quindi ti consiglio caldamente di prendere dimestichezza in quel settore (puoi leggere e seguire il libro "Hacklog vol.2" dove vengono spiegate le vulnerabilità più comuni lato Web) ed esercitarti con la macchine virtuale DVWA (viene usata anche come VM su cui fare esercizzi nel libro citato poco fa).
Inoltre per fare pratica puoi esercitarti su HackTheBox (quasi in ogni macchina c'è una parte lato web) oppure cercare delle macchine apposite su VulnHub.
Un altro possibile libro che potresti leggere è "A Bug Hunter's Diary: A Guided Tour Through the Wilds of Software Security" che sembra essere carino, ma non l'ho mai letto, oppure i vari libri sul bug bounty scritti dalla casa editrice "Packt" o in alternativa quelli dell'apogeo.

Infine per seguire i bugbounty ci sono diverse organizzazione che se ne occupano, che pubblicano aggiornamenti, siti, liste ecc.
Per citarne una, nonchè la più nota, c'è bugcrowd, o in alternativa HackerOne e altri

Potrà anche capitare di trovare bugbounty fatti su altre piattaforme che non siano web, lì starà a te decidere se specializzarti poi anche in altro oppure no.

PS. Per le certificazioni, se non te le richiedono a lavoro, evita più che puoi quelle puramente teoriche e concentrati di più su quelle pratiche, tipo quelle fornite da eLearnSecurity oppure dalla OffensiveSecurity... ne trai più guadagno tu e ti diverti di più ;)
Clicca per espandere...
Grazie mille dei consigli! Riguardo alle certificazioni diciamo che volevo prenderne una 'entry level' per il fatto che io non ho un vero e proprio diploma in mano, e volevo qualcosa che mi permettesse di iniziare a cercare qualcosa nell'ambito it (tutto questo perché sono un genio e non ho studiato informatica fin dall'inizio )
 
verdego ha detto:
Grazie mille dei consigli! Riguardo alle certificazioni diciamo che volevo prenderne una 'entry level' per il fatto che io non ho un vero e proprio diploma in mano, e volevo qualcosa che mi permettesse di iniziare a cercare qualcosa nell'ambito it (tutto questo perché sono un genio e non ho studiato informatica fin dall'inizio )
Clicca per espandere...
Allora posso consigliarti di fare come prima certificazione la eJPT (junior penetration testing) della eLearnSecurity, dopodichè ci sarebbero l'OSCP oppure la ePPT (professional penetration testing), che sono sicuramente tra le più pratiche e le più efficaci per imprare sul campo
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

0
Discussione Ufficiale I migliori canali YouTube per imparare e approfondire la Sicurezza Informatica
  • Release
  • In evidenza
  • 30
  • 12K
30
12K
Sicurezza Informatica
TheWorm91
H
Discussione La mia esperienza con la EJPT-V2, opinioni e consigli per chi vuole iniziare
  • 15
  • 2K
15
2K
Pentesting e Ethical Hacking
Hackth3w0rld
0
Discussione Ufficiale I migliori siti dove praticare Ethical Hacking nel 2024
  • Release
  • In evidenza
  • 10
  • 6K
10
6K
Pentesting e Ethical Hacking
MRPants
0
Guida I migliori libri per studiare l'Ethical Hacking e Penetration Testing nel 2024
  • Release
  • In evidenza
  • 29
  • 8K
29
8K
Pentesting e Ethical Hacking Guide e Tools
0xbro
Top Bottom
Indietro