Mostanában sokszor találkozom fórumokon a Bug Bounty Hunting témával. A következő bejegyzésben szeretném eloszlatni a tévhiteket és használható információkkal szolgálni azoknak, akik szeretnének biztonsági hibák után kutatni.
Mi is az a Bug Bounty?
A bug bounty vadászat egyre népszerűbb, hiszen mindenki számára elérhető és pénzt lehet vele keresni, de tisztázzuk először az alapfogalmakat.
A bug bounty-t (megtalált hibákért járó jutalom) az olyan vállalkozások tűzik ki, akik fontosnak tartják a biztonságot, vagy olyan területen működik a cég (pl. online bank, tőzsde), ami a hackerek kedvelt célpontja.
Jellemzően közzéteszik a szabályokat, valamint hogy milyen hibákért jár jutalom. Ezeket betartva egy tesztelő nyugodtan vizsgálódhat, nem fogják elővenni hackelésért.
Tények és Tévhitek
Bug Bounty-ból meg lehet élni
Habár a nagy Bug Bounty portálok előszeretettel hirdetik, hogy milyen sok pénzt keresnek a tesztelők, a valóságban ez közel sem ilyen egyszerű. Valóban van olyan Bug Bounty Hunter aki már egy millió dollárt is keresett, de van több százezer másik, aki csak 50-100 dollárt. Ahhoz, hogy valaki pénzt tudjon keresni, nagy tudás én nagyon sok idő kell. Nekem az első bounty három hónap munkájába került. A vadászat nagyon szórakoztató tud lenni és rengeteget lehet belőle tanulni, de ugyanezzel a tudással egy munkahelyen jobban lehet keresni. Persze a kettő nem zárja ki egymást.
Bug-ot könnyű találni
Igaz is meg nem is. Bugokat lehet találni, viszont ami megüti a mércét és fizetnek érte, azt már nem olyan könnyű, egyrészt mert nagyon sokan vizsgálják az oldalakat, tehát sok száz emberrel versengesz, valamint ezek a vállalkozások gyakran már profikkal teszteltették az alkalmazást, így csak az marad, amit elnéztek.
Kevés lehetőség van
Ez egyáltalán nem igaz. Rengeteg cégnek van Bug Bounty programja és ez a szám folyamatosan nő. Vannak kifejezetten erre a célra specializálódott platformok (lásd legalul), akik összegyűjtik és menedzselik a Bug Bounty-kat.
Kezdőként is neki lehet állni
Abszolút, sőt én mindenkit bíztatok rá, hiszen ez a legjobb lehetőség, hogy éles környezetben gyakorolj és fejleszd a tudásod.
Milyen tudás kell hozzá?
A webes hackelés alapos ismerete kell, ahhoz hogy eredményesen tudj vadászni. Ha még új neked a dolog, vagy szeretnél jobban elmélyedni ebben a világban, iratkozz fel a hamarosan induló webes hackelés képzésünk hírlevelére, hogy elsőként és kedvezménnyel vehess részt.
A legjobb Bug Bounty platformok:
További érdekességekért kövesd a blogot és csatlakozz a facebook csoportunkhoz vagy oldalunkhoz.
A kép forrása: pexels.com
