ホーム>プログラミング関連>その他のソースコード
ダウンロード

バグバウンティ無料リソース

導入

バグとは何ですか?

セキュリティバグまたは脆弱性は、「ソフトウェアおよびハードウェアコンポーネントに見られる計算ロジック(コード)の弱点が、悪用されると、機密性、整合性、または可用性にマイナスの影響を与える。バグ賞とは何ですか?

バグバウンティまたはバグバウンティプログラムは、特定のソフトウェア製品のバグを見つけて報告するために与えられた報酬または賞金プログラムのための専門用語です。多くのIT企業は、製品の改善を促進し、エンドユーザーまたはクライアントからより多くの対話を得るためにバグバウンティを提供しています。バグバウンティプログラムを運営している企業は、セキュリティバグやセキュリティの脆弱性を含む何百ものバグレポートを受け取る可能性があり、それらのバグが賞を受賞することを支持していることを報告しています。

報酬とは何ですか?

問題の重大度と修正コストに基づいて、あらゆる種類の報酬があります。それらは、実際のお金(最も一般的な)からプレミアムサブスクリプション(Prime/Netflix)、ディスカウントクーポン(ショッピングサイトのEコマース)、ギフトバウチャー、SWAG(アパレル、バッジ、カスタマイズされた文房具など)までの範囲です。お金は50ドルから50,000ドル以上の範囲です。何を学ぶべきですか?

テクニカル

コンピューターの基本

https://www.comptia.org/training/by-certification/a

https://www.tutorialspoint.com/computer_fundamentals/index.htm

https://onlinecourses.swayam2.ac.in/cec19_cs06/preview

https://www.udemy.com/course/complete-computer-basics-course/

https://www.coursera.org/courses?query = computer%20fundamentals

コンピューターネットワーキング

https://www.udacity.com/course/computer-networking-ud436

https://www.coursera.org/professional-certificates/google-it-support

https://www.udemy.com/course/introduction-tocomputer-networks/

オペレーティングシステム

https://www.coursera.org/learn/os-power-user

https://www.udacity.com/course/introduction-to-perating-systems--ud923

https://www.udemy.com/course/linux-command-line-volume1/

プログラミングc

https://www.programiz.com/c-programming

どこから学ぶべきか?

ブログと記事

ハッキング記事:https://www.hackingarticles.in/

Vickie Liブログ:https://vickieli.dev/

bugcrowdブログ:https://www.bugcrowd.com/blog/

intigritiブログ:https://blog.intigriti.com/

Portswiggerブログ:https://portswigger.net/blog

フォーラム

reddit:https://www.reddit.com/r/websecurity/

Reddit:https://www.reddit.com/r/netsec/

公式ウェブサイト

owasp:https://owasp.org/

Portswigger:https://portswigger.net/

CloudFlare:https://www.cloudflare.com/

YouTubeチャンネルhttps://www.youtube.com/@penetestersquad

練習する!練習する!そして練習! CTF

ハッカー101:https://www.hackerone.com/hackers/hacker101

picoctf:https://picoctf.org/

tryhackme:https://tryhackme.com/(Premium/free)

hackthebox:https://www.hackthebox.com/(プレミアム)

Vulnhub:https://www.vulnhub.com/

hackthissite:https://hackthissite.org/

ctfchallenge:https://ctfchallenge.co.uk/

pentesterlab:https://pentesterlab.com/(プレミアム)

オンラインラボ

Portswigger Web Security Academy:https://portswigger.net/web-security

OWASPジュースショップ:https://owasp.org/www-project-juice-shop/

XSSGAME:https://xss-game.appspot.com/

bugbountyhunter:https://www.bugbountyhunter.com/(Premium)

w3challs:https://w3challs.com/

オフラインラボ

DVWA:https://dvwa.co.uk/

BWAPP:http://www.itsecgames.com/

metasploitable2:https://sourceforge.net/projects/metasploitable/files/metasploitable2/

bugbountyhunter:https://www.bugbountyhunter.com/(Premium)

w3challs:https://w3challs.com/

サーバーを使用するためのより多くのツールとサービス

Shodan-すべてのインターネットの検索エンジン

Censys Search-インターネット上のすべてのサーバーの検索エンジンを検索して、露出を減らし、セキュリティを改善する

onyphe.io-オープンソースおよびサイバー脅威インテリジェンスデータのためのサイバー防衛検索エンジン

Zoomeye-グローバルサイバースペースマッピング

Greynoise-インターネットノイズを理解するためのソース

Natlas-スケーリングネットワークスキャン

netlas.io-オンラインで入手可能な資産を発見、調査、監視する

FOFA-サイバースペースマッピング

Quake-サイバースペース調査およびマッピングシステム

ハンター - セキュリティ研究者向けのインターネット検索エンジン

脆弱性

NIST NVD -US National Ulnerabilityデータベース

MITER CVE-サイバーセキュリティの脆弱性を公開し、識別、定義、カタログ

Github Advisoryデータベース - セキュリティの脆弱性データベースCVEおよびGitHubが発生したセキュリティアドバイザリーを含む

cloudvulndb.org-オープンクラウドの脆弱性とセキュリティ問題データベース

OSV.DEV-オープンソースの脆弱性

vulners.com-セキュリティインテリジェンスの検索エンジン

opencve.io- CVEアップデートを追跡し、新しい脆弱性について警告する最も簡単な方法

Security.snyk.io-オープンソースの脆弱性データベース

修正脆弱性データベース - 最大のオープンソースの脆弱性DB

Rapid7 -DB-脆弱性とエクスプロイトデータベース

Cvedetails-究極のセキュリティ脆弱性データソース

Vulniq-脆弱性インテリジェンスおよび管理ソリューション

SynapsInt -Unified OSINT Research Tool

Aquaの脆弱性データベース - オープンソースアプリケーションとクラウドネイティブインフラストラクチャの脆弱性と弱点

Vulmon-脆弱性とエクスプロイト検索エンジン

vuldb-ナンバーワンの脆弱性データベース

ScanFactory-リアルタイムセキュリティ監視

トレンドマイクロゼロデイイニシアチブ - ゼロデイイニシアチブ研究者によって発見された公開された脆弱性

Google Project Zero-ゼロ日を含む脆弱性

Trickest CVEリポジトリ - POCで利用可能なすべての最新のCVEを収集して更新します

cnvd.org.cn-中国国家脆弱性データベース

inthewild.io-悪用された脆弱性の無料のオープンソースフィードでCVEをチェックしてください

脆弱性ラボ - 脆弱性調査、バグバウンティ、脆弱性評価

Red Hat Security Advisories-セキュリティアドバイザリの形でRed Hat製品とサービスに影響を与えるセキュリティ欠陥に関する情報

Cisco Security Advisories-ネットワーク機器やソフトウェアを含むCisco製品のセキュリティアドバイスと脆弱性情報

Microsoft Security Response Center-マイクロソフト製品とサービスに影響を与えるセキュリティの脆弱性のレポート

Variot -Variot IoT脆弱性データベース

エクスプロイト

Exploit -DB -Exploitデータベース

sploitus-最新のエクスプロイトを識別するための便利な中央の場所

Rapid7 -DB-脆弱性とエクスプロイトデータベース

Vulmon-脆弱性とエクスプロイト検索エンジン

packetstormsecurity.com-情報セキュリティサービス、ニュース、ファイル、ツール、エクスプロイト、アドバイザリ、ホワイトペーパー

0day.today-エクスプロイトと脆弱性の究極のデータベース

lolbas-土地のバイナリ、スクリプト、図書館で生活する

GTFOBINS-誤ったシステムのローカルセキュリティ制限をバイパスするために使用できるUNIXバイナリのキュレーションリスト

ペイロードすべてのもの - Webアプリケーションセキュリティのための有用なペイロードとバイパスのリスト

XSSペイロード-JavaScriptの不思議の国予測のある使用法など

exploitalert.com-エクスプロイトのデータベース

リバースシェルジェネレーター - ローカルストレージ機能を備えたオンラインリバースシェルジェネレーター、URI&Base64エンコーディング、MSFVENOMジェネレーター、およびRAWモード

ハッケロンハッティティック - ハッケロンの最新のハッカーアクティビティを参照してください

Bugcrowd CrowdStream -Bugcrowdプログラムで受け入れられ、開示された提出物のショーケース

GTFOARGS-引数注入のために操作できるUNIXバイナリのキュレーションリスト

shell-storm.org/shellcode-調査ケースのシェルコードデータベース

クラウドのハッキング - 攻撃/戦術/テクニックの百科事典、攻撃的なセキュリティ専門家が次のクラウド搾取の冒険で使用できるテクニック

Loldrivers-脆弱で悪意のある、既知の悪意のあるWindowsドライバーをまとめるオープンソースプロジェクト

pwnwiki-アクセス後に何をすべきかについてのTTPS(ツール、戦術、手順)のコレクションが得られました

cvexploits検索 - インターネット全体からのCVEエクスプロイトの包括的なデータベース

Variot -Variot IoT Exploitsデータベース

Loobins-さまざまな組み込みのMacOSバイナリに関する詳細情報と、悪意のある目的のために脅威アクターがどのように使用できるかについて

連合エクスプロイトスコアリングシステム - エクスプロイトの可能性を反映するために、新しい既存の脆弱性を動的にスコアリングするモデル

WADCOMS-攻撃的なセキュリティツールのキュレーションされたリストと、Windows/AD環境に対して使用するそれぞれのコマンドを含むインタラクティブなチートシート

LolApps-日々の搾取を実行するために使用できるアプリケーションの大要

ハードウェアの生活 - 悪意のあるハードウェアと悪意のあるデバイスの識別と利用に関するガイダンスを提供するリソースコレクション

パイプラインでの生活 - CI/CDパイプラインで一般的に使用される開発ツールを使用して、任意のコード実行を実現する方法

バグバウンティプラットフォームクラウドソーシング

bugcrowd:https://www.bugcrowd.com/

ハッケロン:https://www.hackerone.com/

intigriti:https://www.intigriti.com/

yeswehack:https://www.yeswehack.com/

OpenBugBounty:https://www.openbugbounty.org/

個々のプログラム

メタ:https://www.facebook.com/whitehat

Google:https://about.google/appsecurity/

バグバウンティレポートフォーマットタイトル

第一印象は最後の印象であり、セキュリティエンジニアは最初にタイトルを見て、問題を特定できるはずです。どのような機能を悪用できるか、どのような保護をバイパスできるかについて書いてください。たった1行で書き込みます。可能であれば、タイトルに問題の影響を含めてください。説明

このコンポーネントは、脆弱性の詳細を提供します。ここで脆弱性を説明し、テスト中にパス、エンドポイント、エラーメッセージについて書くことができます。 HTTPリクエスト、脆弱なソースコードを添付することもできます。複製する手順

バグを再現するために段階的なプロセスを書きます。アプリの所有者が見つけたものを検証し、シナリオを理解できることが重要です。問題を示すために、各ステップを明確に順序に書く必要があります。これにより、セキュリティエンジニアが速くトリアージするのに役立ちます。概念実証

このコンポーネントは、作業全体の視覚です。デモビデオを録画したり、スクリーンショットを添付したりできます。インパクト

実際の影響、攻撃者が脆弱性をうまく搾取した場合にどのように有利になるかについて書いてください。どのような種類の可能性のある損害を与えることができますか? (理論的影響について書くことは避けてください)組織のビジネス目標と一致する必要があります

?脆弱性を学ぶ

  • エクスプロイトノート
  • バグバウンティハンティング
  • マインドマップ
  • CQR Company -Idor
  • Mindapi参照
  • ミンダピプレイ
  • Webセキュリティの脆弱性
  • 狩り方法
  • Acunetix Webの脆弱性
  • 脆弱性チェックリスト
  • Webアプリのハッキング
  • Webアプリケーション用のハンドブック
  • 素晴らしいバグバウンティの記事
  • HowtoHunt
  • 自動スキャナー
  • IREDチーム
  • ホリティップ
  • 素晴らしいWebセキュリティ
  • 脆弱な機械
  • Web脆弱性方法論
  • LFIチートシート
  • PayloadSallthings
  • Web脆弱性方法論
  • ネットワークセキュリティ
  • 実用的なバグバウンティ
  • OffSecツール
  • ブログを検出します
  • WebアプリPentest
  • プロジェクトのチートシート
  • Salmonsecチートシート
  • バープスイートエクステンション
  • 素晴らしいげっぷエクステンション
  • bugbounty

記事

  • 素晴らしいバグバウンティの記事
  • ペンテスターの土地の書き込み
  • ブログを検出します
  • 記事

中:https://medium.com/analytics-vidhya/a-beginners-guide-to-cyber-security-3d0f7891c93a

infosec記事:https://infosecwriteups.com/?gi=3149891cc73d

Hackerone Hacktivity:https://hackerone.com/hacktivity

Google VRP Writeups:https://github.com/xdavidhu/awesome-google-vrp-writeups

?偵察

  • YouTubeビデオ1
  • YouTubeビデオ2
  • YouTubeビデオ3
  • Googleプレゼンテーション

バグハンターの方法論

  • YouTubeビデオ
  • マインドマップ
  • Galaxy Bug Bounty Checklist
  • バグバウンティマインドマップ
  • バグバウンティ方法論

?€練習

  • Ringzer0 CTF
  • 私を根絶します
  • 攻撃的なセキュリティラボ
  • ポートスウィガー
  • Vulnhub
  • オーバーシワイヤー
  • Hackxpert Labs
  • 防御しましょう
  • echoctf
  • authlab
  • プロンプトリドル
  • 247ctf
  • ctflearn
  • W3Challs
  • クラックメス
  • CryptoHack
  • Hacker101
  • このサイトをハッキングします
  • picoctf
  • pwnable.xyz
  • ハッキングハブ
  • バグバウンティハンター
  • Java脆弱性ラボ
  • Javaセキュリティコース
  • WebハッキングKR
  • websec fr
  • スニナタス
  • プロンプトル
  • pwntn
  • HBH認証
  • テーマの謎

これらのリソースを探索して、脆弱性評価、バグハンティング、浸透テストなど、サイバーセキュリティのさまざまな側面を学び、実践できます。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて