Bug Bounty Free Resources
1.0.0
Perkenalan
Apa itu bug?
Bug keamanan atau kerentanan adalah “kelemahan dalam logika komputasi (misalnya, kode) yang ditemukan dalam komponen perangkat lunak dan perangkat keras yang, ketika dieksploitasi, menghasilkan dampak negatif terhadap kerahasiaan, integritas, atau ketersediaan. Apa itu hadiah bug?
Program hadiah bug atau bug apakah itu jargon untuk program hadiah atau hadiah yang diberikan untuk menemukan dan melaporkan bug dalam produk perangkat lunak tertentu. Banyak perusahaan TI menawarkan hadiah bug untuk mendorong peningkatan produk dan mendapatkan lebih banyak interaksi dari pengguna akhir atau klien. Perusahaan yang mengoperasikan program hadiah bug mungkin mendapatkan ratusan laporan bug, termasuk bug keamanan dan kerentanan keamanan, dan banyak yang melaporkan bug itu akan menerima penghargaan.
Apa hadiahnya?
Ada semua jenis imbalan berdasarkan keparahan masalah dan biaya untuk diperbaiki. Mereka dapat berkisar dari uang sungguhan (paling lazim) hingga langganan premium (prime/netflix), kupon diskon (untuk e commerce situs belanja), voucher hadiah, barang curian (pakaian, lencana, alat tulis khusus, dll.). Uang dapat berkisar dari $ 50 hingga $ 50.000 dan bahkan lebih. Apa yang harus dipelajari?
Teknis
Dasar -dasar Komputer
https://www.comptia.org/training/by-certification/a
https://www.tutorialspoint.com/computer_fundamentals/index.htm
https://onlinecourses.swayam2.ac.in/cec19_cs06/preview
https://www.udemy.com/course/complete-computer-basics-course/
https://www.coursera.org/courses?query=computer%20fundamentals
Jaringan Komputer
https://www.udacity.com/course/computer-networking-ud436
https://www.coursera.org/professional-certificates/google-it-support
https://www.udemy.com/course/introduction-to-computer-networks/
Sistem Operasi
https://www.coursera.org/learn/os-power-user
https://www.udacity.com/course/introduction-to-operating-systems-ud923
https://www.udemy.com/course/linux-command-line-volume1/
Pemrograman c
https://www.programiz.com/c-programming
Dari mana harus belajar?
Blog dan Artikel
Artikel peretasan: https://www.hackingarticles.in/
Blog Vickie Li: https://vickieli.dev/
Bugcrowd Blog: https://www.bugcrowd.com/blog/
Blog Intigriti: https://blog.intigriti.com/
Blog Portswigger: https://portswigger.net/blog
Forum
Reddit: https://www.reddit.com/r/websecurity/
Reddit: https://www.reddit.com/r/netsec/
Situs web resmi
OWASP: https://owasp.org/
Portswigger: https://portswigger.net/
Cloudflare: https://www.cloudflare.com/
Saluran YouTube https://www.youtube.com/@penetestersquad
PRAKTIK! PRAKTIK! Dan berlatih! CTF
Hacker 101: https://www.hackerone.com/hackers/hacker101
Picoctf: https://picoctf.org/
TryhackMe: https://tryhackme.com/ (premium/gratis)
HackTheBox: https://www.hackthebox.com/ (premium)
Vulnhub: https://www.vulnhub.com/
Hackthissite: https://hackthissite.org/
Ctfchallenge: https://ctfchallenge.co.uk/
Pentesterlab: https://pentesterlab.com/ (premium)
Laboratorium online
Portswigger Web Security Academy: https://portswigger.net/web-security
Owasp Juice Shop: https://owasp.org/www-project-juice-shop/
XSSGAME: https://xsss-game.appspot.com/
Bugbountyhunter: https://www.bugbountyhunter.com/ (premium)
W3Challs: https://w3challs.com/
Lab Offline
DVWA: https://dvwa.co.uk/
BWAPP: http://www.itsecgames.com/
Metasploitable2: https://sourceforge.net/projects/metasploitable/files/metasploited2/
Bugbountyhunter: https://www.bugbountyhunter.com/ (premium)
W3Challs: https://w3challs.com/
Lebih banyak alat dan layanan untuk menggunakan server
Shodan - Mesin pencari untuk Internet dari segalanya
Pencarian Sensys - Mesin pencari untuk setiap server di internet untuk mengurangi paparan dan meningkatkan keamanan
ONYPHE.IO - Mesin pencari pertahanan cyber untuk data intelijen open -source dan cyber ancaman
Zoomeye - Pemetaan Cyberspace Global
Greynoise - Sumber untuk memahami kebisingan internet
Natlas - Pemindaian Jaringan Penskalaan
Netlas.io - Temukan, meneliti, dan memantau aset apa pun yang tersedia secara online
FOFA - Pemetaan Cyberspace
Gempa - Sistem Survei dan Pemetaan Cyberspace
Hunter - Mesin Pencari Internet untuk Peneliti Keamanan
Kerentanan
NIST NVD - Database Kerentanan Nasional AS
MITER CVE - Identifikasi, tentukan, dan katalog kerentanan keamanan siber yang diungkapkan secara publik
Basis Data Penasihat GitHub - Database Kerentanan Keamanan Termasuk CVE dan GitHub yang berasal dari Penasihat Keamanan
cloudvulndb.org - basis data edisi kerentanan & keamanan cloud terbuka
OSV.DEV - Kerentanan Sumber Terbuka
Volners.com - Mesin pencari Anda untuk intelijen keamanan
opencve.io - Cara termudah untuk melacak pembaruan CVE dan diperingatkan tentang kerentanan baru
Security.snyk.io - Database Kerentanan Sumber Terbuka
Mend Database Kerentanan - Kerentanan Open Source Terbesar DB
Rapid7 - DB - Database Kerentanan & Eksploitasi
Cvedetails - DataSource Kerentanan Keamanan Utama
Vulniq - Kecerdasan Kerentanan dan Solusi Manajemen
SynapsInt - Alat Penelitian Osint Terpadu
Database Kerentanan Aqua - Kerentanan dan Kelemahan dalam Aplikasi Sumber Terbuka dan Infrastruktur Asli Cloud
Vulmon - Kerentanan dan Eksploitasi Mesin Pencari
VuldB - Database Kerentanan Nomor Satu
ScanFactory - Pemantauan Keamanan Realtime
Inisiatif Tren Mikro Nol Hari - Kerentanan yang Diungkapkan Umum Ditemukan oleh Peneliti Inisiatif Nol Hari
Google Project Zero - Kerentanan termasuk nol hari
Repositori CVE TRICKEST - Kumpulkan dan perbarui semua CVE yang tersedia dan terbaru dengan POC mereka
cnvd.org.cn - Database Kerentanan Nasional Cina
InThewild.io - Periksa CVE di feed open source kami dari kerentanan yang dieksploitasi
Lab Volnerability - Penelitian Kerentanan, Hadiah Bug dan Penilaian Kerentanan
Red Hat Security Advisories - Informasi tentang kelemahan keamanan yang memengaruhi produk dan layanan Red Hat dalam bentuk nasihat keamanan
Cisco Security Advisories - Nasihat Keamanan dan Informasi Kerentanan untuk Produk Cisco, termasuk peralatan jaringan dan perangkat lunak
Microsoft Security Response Center - Laporan kerentanan keamanan yang mempengaruhi produk dan layanan Microsoft
Variot - Variot IoT Volnerability Database
Eksploitasi
Exploit -DB - Exploit Database
Sploitus - tempat sentral yang nyaman untuk mengidentifikasi eksploitasi terbaru
Rapid7 - DB - Database Kerentanan & Eksploitasi
Vulmon - Kerentanan dan Eksploitasi Mesin Pencari
packetstormsecurity.com - Layanan Keamanan Informasi, Berita, File, Alat, Eksploitasi, Penasihat dan Whitepaper
0day.Today - Database Ultimate Eksploitasi dan Kerentanan
LOLBAS - Hidup dari Binari Darat, Script dan Perpustakaan
GTFOBIN - Daftar biner UNIX yang dikuratori yang dapat digunakan untuk memotong pembatasan keamanan lokal dalam sistem yang salah konfigurasi
Payload semua hal - daftar muatan dan bypass yang berguna untuk keamanan aplikasi web
XSS Payloads - The Wonderland of JavaScript yang tidak terduga, dan banyak lagi
Exploititalert.com - Basis Data Eksploitasi
Reverse Shell Generator - Generator Shell Terbalik Online dengan Fungsi Penyimpanan Lokal, URI & Base64 Encode, Generator MSFVENOM, dan Mode RAW
Hackerone Hacktivity - lihat aktivitas peretas terbaru di hackerone
Bugcrowd Crowdstream - Showcase pengiriman yang diterima dan diungkapkan pada program BugCrowd
GTFOARGS - Daftar biner UNIX yang dikuratori yang dapat dimanipulasi untuk injeksi argumen
shell -storm.org/shellcode - database shellcodes untuk kasus penelitian
Hacking the Cloud - Encyclopedia of the Attacks/Tactics/Technik yang dapat digunakan oleh para profesional keamanan ofensif pada petualangan eksploitasi cloud berikutnya
LoldRivers - Proyek sumber terbuka yang menyatukan pengemudi jendela yang rentan, jahat, dan dikenal
Pwnwiki - Koleksi TTP (Alat, Taktik, dan Prosedur) untuk apa yang harus dilakukan setelah akses telah diperoleh
CVEXploits Search - Database komprehensif Anda untuk eksploitasi CVE dari seluruh internet
Variot - Variot IoT Exploits Database
Loobins - Informasi terperinci tentang berbagai binari macOS bawaan dan bagaimana mereka dapat digunakan oleh aktor ancaman untuk tujuan jahat
Sistem Penilaian Eksploitasi Koalisi - Model yang secara dinamis mencetak kerentanan baru dan yang sudah ada untuk mencerminkan kemungkinan eksploitasi mereka
WADCOMS - Lembar Cheat Interaktif yang berisi daftar alat keamanan ofensif yang dikuratori dan perintah masing -masing untuk digunakan melawan lingkungan Windows/iklan
LolApps-Kompendium Aplikasi yang dapat digunakan untuk melakukan eksploitasi sehari-hari
Hidup dari perangkat keras - Koleksi sumber daya yang memberikan panduan untuk mengidentifikasi dan memanfaatkan perangkat keras jahat dan perangkat jahat
Living Off the Pipeline - Bagaimana alat pengembangan yang biasa digunakan dalam pipa CI/CD dapat digunakan untuk mencapai eksekusi kode sewenang -wenang
Platform karunia bug crowdsourcing
Bugcrowd: https://www.bugcrowd.com/
Hackerone: https://www.hackerone.com/
Intigriti: https://www.intigriti.com/
YaWehack: https://www.yeswehack.com/
OpenBugbounty: https://www.openbugbounty.org/
Program individu
Meta: https://www.facebook.com/whitehat
Google: https://about.google/appsecurity/
Judul Format Laporan Bug Bug
Kesan pertama adalah kesan terakhir, insinyur keamanan melihat judul terlebih dahulu dan dia harus dapat mengidentifikasi masalah ini. Tulis tentang fungsionalitas seperti apa yang dapat Anda disalahgunakan atau perlindungan seperti apa yang dapat Anda bypass. Tulis hanya dalam satu baris. Sertakan dampak masalah dalam judul jika memungkinkan. Keterangan
Komponen ini memberikan rincian kerentanan, Anda dapat menjelaskan kerentanan di sini, menulis tentang jalur, titik akhir, pesan kesalahan yang Anda dapatkan saat menguji. Anda juga dapat melampirkan permintaan HTTP, kode sumber yang rentan. Langkah untuk mereproduksi
Tulis proses bertahap untuk membuat ulang bug. Penting bagi pemilik aplikasi untuk dapat memverifikasi apa yang telah Anda temukan dan pahami skenarionya. Anda harus menulis setiap langkah dengan jelas di dalam pesanan untuk menunjukkan masalah ini. Itu membantu insinyur keamanan untuk melakukan triase dengan cepat. Bukti Konsep
Komponen ini adalah visual dari seluruh karya. Anda dapat merekam video demonstrasi atau melampirkan tangkapan layar. Dampak
Tulis tentang dampak kehidupan nyata, bagaimana penyerang dapat mengambil keuntungan jika dia berhasil mengeksploitasi kerentanan. Jenis kemungkinan kerusakan apa yang bisa dilakukan? (Hindari menulis tentang dampak teoretis) harus selaras dengan tujuan bisnis organisasi
Medium: https://medium.com/analytics-vidhya/a-beginners-guide-to-cyber-security-3d0f7891c93a
Tulisan Infosec: https://infosecwriteups.com/?gi=3149891cc73d
HackerOne Hacktivity: https://hackerone.com/hacktivity
Tulisan Google VRP: https://github.com/xdavidhu/awesome-google-vrp-writeups
Anda dapat mengeksplorasi sumber daya ini untuk mempelajari dan mempraktikkan berbagai aspek keamanan siber, termasuk penilaian kerentanan, perburuan serangga, dan pengujian penetrasi.
