17 marzo 2015

BugCrowd, recopilación de Bug Bounties

Siempre se ha dicho que una de las mejores maneras de crecer técnicamente es la de realizar investigaciones por cuenta propia, desarrollar exploits para vulnerabilidades publicadas, descargarse laboratorios de pruebas online (proyectos OWASP o como por ejemplo Web For Pentesters...), participar en wargames o Capture The Flags. Vamos a añadir una nueva posibilidad: Bug Bounties.


Os hemos hablado en otras ocasiones de Bug Bounties o programas de recompensas por vulnerabilidades, en la que una empresa permite que terceros realicen pruebas de seguridad sobre sus productos o aplicaciones web, a cambio de dinero, merchandising, aparecer en Hall Of Fames o incluso un puesto de trabajo.

Pues bien, hoy os hablamos de una plataforma, llamada BugCrowd, que permite dos posibilidades:
  1. Desde el punto de vista de empresa, crear un programa de recompensas para solicitar probar la seguridad de productos, aplicaciones o dominios.
  2. Desde el punto de vista del investigador, registrarse como usuario y disponer de acceso a todos los programas sobre los que poder realizar pruebas.

Tipos de acceso a BugCrowd


Pero no sólo los más grandes tienen programas creados (LastPass, Heroku,Pinterest,Western Union....), también otros grupos más reducidos, con quizás menos recursos para disponer de un equipo de seguridad, ven aquí una oportunidad de poder delegar estas revisiones a más de 15000 personas.

Para cada Bug Bounty, encontraréis los objetivos dentro de la iniciativa (suelen ser listado de dominios o subdominios), tipos de vulnerabilidades por los que se ofrecen recompensas y por cuales no, así como el resto de reglas.

Información del Bug Bounty de Pinterest


No sólo podréis encontrar en esta web los Bug Bounties promocionados por la plataforma, si no que además en este otro enlace tenéis un listado más amplio propio de otras empresas como Google, Dell Secureworks, Avast!, AT&T...indicando para cada uno de ellos si se recompensa mediante material, dinero y/o apareciendo en su Hall Of Fame.

Listado de Bug Bounties


4 comments :

María García dijo...

Muchas gracias por compartir la información.

Quisiera aprovechar para preguntar a la comunidad qué herramienta consideran mejor: si ésta o, por ejemplo, Anubis, Malware, Virustotal, etc. ¿Qué diferencias hay entre ellas y cuáles serían las ventajas de unas respecto a otras?
Un saludo,

Jonathan Novel dijo...

Buenas,
Muchas gracias por la info Yago, eternamente agradecido. Creo
que cumplo los requisitos esenciales para dicha tarea, muchas ganas de
aprender y por suerte o por desgracia todo el tiempo del mundo, por otro lado, ser
autodidacta al igual que la mayoría de las circustancias en la vida
tiene sus pros y sus contras, madre mía si me vieran hoy en día mis
maestros de cuando entonces la E.G.B, me daban de ostias >.<

Saludios¡

Miguelito BlackHat dijo...

Baso se escribe así := ¡VASO! ...ostias se escribe así := ¡Hostias!...
vació := vacío...y si, si te ven estas "faltorras, te dan de hostias"
Saludos

Anonimo dijo...

Si se escribe así := ¡SÍ!... cuando expresa una afirmación.


La del "baso" es grave, pero tampoco hay que pasarse...