Denne side bruger cookies
Dette forum bruger cookies. Hvis du er registreret, bruges de til at huske hvem du er logget ind som. Hvis ikke, gemmer vi dit sidste besøgstidspunkt. Besøgstidspunktet bruges bl.a. til at holde øje med, hvilke tråde du allerede har læst. Cookies er små tekstdokumenter, som bliver gemt i din browser og udgør ingen sikkerhedsrisiko. Tryk "Mere Information" nedenfor, for en liste over de cookies vi sætter. Du har mulighed for at fravælge cookies ved at klikke på knappen "Blokér Cookies" i bunden af denne boks.

En ikke-personhenførbar cookie vil blive gemt i din browser, uanset dit valg (Medmindre du ikke foretager et). Således undgår du at blive spurgt igen. Du kan til enhver tid ændre dit valg via linket i bunden af siden.

Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Bug Bountys
04-04-2017, 15:51
#1
Bug Bountys
Jeg ville bare lige dele min kilde til når jeg laver bug bountys på hackerone, bruger jeg en side en af min venner har lavet til at se all de forskellige bug reports igennem se jeg kan lærer fra dem. 
til jer der ikke ved hvad bug bountys er det når man hacker en hjemmeside for eksemple twitter, og så bliver man betalt en bounty for ens arbejde.
Her inde bbounty.org kan man slå de forskellige op og der komme flere løbenede så hvis jeg skal lærer mere om sql injection kan jeg søge på sqli og alle de forskellige bugs der blevet raptorter for sqli kan jeg så læse og se hvordan de har gjort det.
Bare en lille hjælp her fra håber det hjælpe nogle :)
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-04-2017, 17:44
#2
RE: Bug Bountys
Fedt at kontribuere til siden med sådan noget! Bug bounties er sjove at læse engang imellem, da man bare tænker WTF over de webudviklere de har haft.
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-04-2017, 18:02
#3
RE: Bug Bountys
Kræver det ikke man har meget forstand på web languages?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-04-2017, 18:21
#4
RE: Bug Bountys
(04-04-2017, 18:02)plant Skrev: Kræver det ikke man har meget forstand på web languages?

Så vidt jeg kan se på bbounty.org, så er de fleste weborienterede. Bug Bounties gælder dog alle platforme Smile

Jeg rapporterede engang XSS til Bone's og fik et 500 kroners gavekort. Det er ikke en bounty de havde kørende, men valgte alligevel at rapportere det Wink
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-04-2017, 19:57
#5
RE: Bug Bountys
(04-04-2017, 18:21)Ash Skrev: Så vidt jeg kan se på bbounty.org, så er de fleste weborienterede. Bug Bounties gælder dog alle platforme Smile

Jeg rapporterede engang XSS til Bone's og fik et 500 kroners gavekort. Det er ikke en bounty de havde kørende, men valgte alligevel at rapportere det Wink

Det lyder spændende, hvordan vil du anbefale man kommer igang? 

Jeg har kun erfaring med python, og lidt sql injection.  Jeg er klar på det hele :)
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-04-2017, 22:58
#6
RE: Bug Bountys
(04-04-2017, 20:10)BigJ Skrev: Hvis du ikke vil i fængsel eller trues med at blive anmeldt, så få en aftale til at starte med! *personal experience*

Yep... Jeg oplevede det samme med Mensa. De var satme ikke glade, da jeg ringede for at rapportere SQLi.
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-04-2017, 07:36 (Denne besked var sidst ændret: 05-04-2017, 07:37 af zacko.)
#7
RE: Bug Bountys
Hvis jeg forsøger med noget SQL injection på en hjemmeside, hvordan skulle de så finde ud at der overhovedet er blevet udført på deres side - med nogle helt basale commands?
Kun for at se om siden overhovedet er sårbar.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-04-2017, 10:15
#8
RE: Bug Bountys
(04-04-2017, 19:57)plant Skrev: Det lyder spændende, hvordan vil du anbefale man kommer igang? 

Jeg har kun erfaring med python, og lidt sql injection.  Jeg er klar på det hele :)

Find et program, gå i gang med at undersøge og se om du er heldig :)

bugcrowd.com/list-of-bug-bounty-programs
https://hackerone.com/directory?query=ty...ing&page=1
https://firebounty.com/
https://cobalt.io/

Størstedelen af de forskellige programmer handler om web-sikkerhed, så udvid din horisont indenfor det emne, så du har flere muligheder når du tester. Fordelen ved bug bounties er, at du kun behøver at forstå hvordan man demonstrerer en sårbarhed, og at du derfor ikke behøver at bruge tid på at exploite, som du jo netop ikke må
GOOD LUCK EBOLA-CHAN
I LOVE YOU EBOLA-CHAN
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-04-2017, 14:11
#9
RE: Bug Bountys
(05-04-2017, 10:15)R3dpill Skrev: Find et program, gå i gang med at undersøge og se om du er heldig :)

bugcrowd.com/list-of-bug-bounty-programs
https://hackerone.com/directory?query=ty...ing&page=1
https://firebounty.com/
https://cobalt.io/

Størstedelen af de forskellige programmer handler om web-sikkerhed, så udvid din horisont indenfor det emne, så du har flere muligheder når du tester. Fordelen ved bug bounties er, at du kun behøver at forstå hvordan man demonstrerer en sårbarhed, og at du derfor ikke behøver at bruge tid på at exploite, som du jo netop ikke må

Tak for replied. Jeg har læst lidt vedrørende "bug hunt". De fleste ser ud til at bruge forskellige former for software (fx uniscanj), til at hjælpe dem med at finde bugs. Er det virkelig en god ide? 

Jeg tænker bare chancerne er rimelig store at der allerede har været nogle andre der har kørt den specifikke software, for at tjekke efter bugs på hjemmesiden.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-04-2017, 15:03
#10
RE: Bug Bountys
(05-04-2017, 14:11)plant Skrev: Tak for replied. Jeg har læst lidt vedrørende "bug hunt". De fleste ser ud til at bruge forskellige former for software (fx uniscanj), til at hjælpe dem med at finde bugs. Er det virkelig en god ide? 

Jeg tænker bare chancerne er rimelig store at der allerede har været nogle andre der har kørt den specifikke software, for at tjekke efter bugs på hjemmesiden.

Nej, den slags resulterer normalt i at ens bug er en duplicate medmindre der er et nyt program der lige er blevet offentliggjort, og du er hurtigere end de andre ;) det er fint med automatiserde værktøjer (såfremt det er accepteret i reglerne for et program), men det er bestemt vigtigt at man også roder manuelt for at gå i dybden. Ellers når man ikke særligt langt.

Hvis du ikke har styr på andre web-sårbarheder end sql injection, kan det faktisk være ganske lærerigt at køre en automatiseret scanner ved siden af din manuelle test. Hvis den eksempelvis finder en XSS, du har overset, så tænk over, hvorfor du overså den (og husk naturligvis også at bekræfte at det ikke bare er en falsk positiv)
GOOD LUCK EBOLA-CHAN
I LOVE YOU EBOLA-CHAN
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)