Bug Bounty Free Resources

소개

버그 란 무엇입니까?

보안 버그 또는 취약점은“이용할 때 기밀성, 무결성 또는 가용성에 부정적인 영향을 미치는 소프트웨어 및 하드웨어 구성 요소에서 발견되는 계산 논리 (예 : 코드)의 약점입니다. 버그 현상금은 무엇입니까?

버그 바운티 또는 버그 바운티 프로그램은 특정 소프트웨어 제품에서 버그를 찾고보고하기위한 보상 또는 현상금 프로그램에 대한 전문 용어입니다. 많은 IT 회사는 버그 바운티를 제공하여 제품 개선을 주도하고 최종 사용자 또는 고객으로부터 더 많은 상호 작용을 얻습니다. Bug Bounty 프로그램을 운영하는 회사는 보안 버그 및 보안 취약점을 포함하여 수백 가지 버그 보고서를받을 수 있으며, 그 버그가 상을 수상했다고보고하는 많은 사람들이 상을받을 수 있습니다.

보상은 무엇입니까?

문제의 심각성과 해결 비용에 따라 모든 유형의 보상이 있습니다. 실제 돈 (가장 널리 퍼진)에서 프리미엄 구독 (프라임/넷플릭스), 할인 쿠폰 (쇼핑 사이트의 전자 상거래), 기프트 바우처, 장식 (의류, 배지, 맞춤형 문구 등)에 이르기까지 다양합니다. 돈의 범위는 50 $ ~ 50,000 $ 등입니다. 무엇을 배울까요?

인위적인

컴퓨터 기초

https://www.comptia.org/training/by-certification/a

https://www.tutorialspoint.com/computer_fundamentals/index.htm

https://onlinecourses.swayam2.ac.in/cec19_cs06/preview

https://www.udemy.com/course/complete-computer-basics-course/

https://www.coursera.org/courses?query=computer%20fundamentals

컴퓨터 네트워킹

https://www.udacity.com/course/courcuter-networking-ud436

https://www.coursera.org/professional-certificates/google-it-support

https://www.udemy.com/course/introduction-to-computer-networks/

운영 체제

https://www.coursera.org/learn/os-power-user

https://www.udacity.com/course/introduction-to-operating-systems--ud923

https://www.udemy.com/course/linux-command-line-volume1/

프로그래밍 c

https://www.programiz.com/c-programming

어디서 배울 수 있습니까?

블로그 및 기사

해킹 기사 : https://www.hackingarticles.in/

Vickie Li 블로그 : https://vickieli.dev/

Bugcrowd 블로그 : https://www.bugcrowd.com/blog/

Intigriti 블로그 : https://blog.intigriti.com/

Portswigger 블로그 : https://portswigger.net/blog

포럼

Reddit : https://www.reddit.com/r/websecurity/

Reddit : https://www.reddit.com/r/netsec/

공식 웹 사이트

owasp : https://owasp.org/

Portswigger : https://portswigger.net/

Cloudflare : https://www.cloudflare.com/

YouTube 채널 https://www.youtube.com/@penetestersquad

관행! 관행! 그리고 연습! CTF

해커 101 : https://www.hackerone.com/hackers/hacker101

picoctf : https://picoctf.org/

tryhackme : https://tryhackme.com/ (프리미엄/무료)

Hackthebox : https://www.hackthebox.com/ (프리미엄)

vulnhub : https://www.vulnhub.com/

Hackthissite : https://hackthissite.org/

ctfchallenge : https://ctfchallenge.co.uk/

PentesterLab : https://pendesterlab.com/ (프리미엄)

온라인 실험실

Portswigger Web Security Academy : https://portswigger.net/web-security

OWASP 주스 상점 : https://owasp.org/www-project-juice-shop/

xssgame : https://xss-game.appspot.com/

BugbountyHunter : https://www.bugbountyhunter.com/ (프리미엄)

W3Challs : https://w3challs.com/

오프라인 실험실

DVWA : https://dvwa.co.uk/

Bwapp : http://www.itsecgames.com/

metasploitable2 : https://sourceforge.net/projects/metasploitable/files/metasploabild2/

BugbountyHunter : https://www.bugbountyhunter.com/ (프리미엄)

W3Challs : https://w3challs.com/

서버를 사용할 수있는 더 많은 도구 및 서비스

Shodan- 모든 인터넷을위한 검색 엔진

Censys 검색 - 인터넷의 모든 서버에 대한 검색 엔진은 노출을 줄이고 보안을 향상시킵니다.

Onyphe.io- 오픈 소스 및 사이버 위협 인텔리전스 데이터를위한 사이버 방어 검색 엔진

ZaMeye- 글로벌 사이버 공간 매핑

greynoise- 인터넷 소음을 이해하기위한 소스

Natlas- 스케일링 네트워크 스캔

netlas.io- 온라인으로 제공되는 모든 자산을 발견, 연구 및 모니터링하십시오.

FOFA- 사이버 공간 매핑

지진 - 사이버 공간 측량 및 매핑 시스템

헌터 - 보안 연구원을위한 인터넷 검색 엔진

취약성

NIST NVD- 미국 국가 취약성 데이터베이스

Miter CVE- 공개적으로 공개 된 사이버 보안 취약점을 식별, 정의 및 카탈로그

GitHub Advisory Database- CVE 및 Github를 포함한 보안 취약성 데이터베이스는 보안 자문을 시작했습니다.

CloudVulndb.org- 오픈 클라우드 취약점 및 보안 문제 데이터베이스

OSV.DEV- 오픈 소스 취약점

Vulners.com- 보안 인텔리전스 검색 엔진

Opencve.io- CVE 업데이트를 추적하고 새로운 취약점에 대해 경고하는 가장 쉬운 방법

Security.snyk.io- 오픈 소스 취약성 데이터베이스

Mend Bexnerability Database- 가장 큰 오픈 소스 취약성 DB

Rapid7 -DB- 취약성 및 익스플로잇 데이터베이스

cvedetails- 최고의 보안 취약성 데이터 소스

Vulniq- 취약점 인텔리전스 및 관리 솔루션

SYNAPSINT- 통합 OSINT 연구 도구

Aqua Vilnerability Database- 오픈 소스 응용 프로그램 및 클라우드 기본 인프라의 취약성 및 약점

VULMON- 취약성 및 악용 검색 엔진

VUMDB- 최초의 취약성 데이터베이스

ScanFactory- 실시간 보안 모니터링

트렌드 마이크로 제로 데이 이니셔티브 - 공개적으로 공개 된 취약점이 제로 데이 이니셔티브 연구원이 발견했습니다.

Google Project Zero- 제로 일을 포함한 취약점

Trickest CVE Repository- POC로 사용 가능한 모든 및 최신 CVE를 수집하고 업데이트하십시오.

cnvd.org.cn- 중국 국가 취약성 데이터베이스

inthewild.io- 이용 된 취약점의 무료 오픈 소스 피드에서 CVES를 점검하십시오.

취약성 실험실 - 취약성 연구, 버그 바운티 및 취약성 평가

Red Hat Security Advisories- 보안 자문 형태로 Red Hat 제품 및 서비스에 영향을 미치는 보안 결함에 대한 정보

Cisco Security Advisories- 네트워크 장비 및 소프트웨어를 포함한 Cisco 제품에 대한 보안 자문 및 취약성 정보

Microsoft Security Response Center- Microsoft 제품 및 서비스에 영향을 미치는 보안 취약점 보고서

Variot -Variot IoT 취약점 데이터베이스

착취

Exploit -DB- 익스플로잇 데이터베이스

Sploitus- 최신 익스플로잇을 식별하기위한 편리한 중앙 장소

Rapid7 -DB- 취약성 및 익스플로잇 데이터베이스

VULMON- 취약성 및 악용 검색 엔진

PacketStormsecurity.com- 정보 보안 서비스, 뉴스, 파일, 도구, 악용, 자문 및 백색 인물

0day.today- 익스플로잇 및 취약점의 궁극적 인 데이터베이스

LOLBAS- 육상 바이너리, 스크립트 및 도서관에서 생활

gtfobins- 잘못 구성된 시스템에서 지역 보안 제한을 우회하는 데 사용할 수있는 UNIX 이진의 선별 된 목록

페이로드 모든 것 - 웹 애플리케이션 보안을위한 유용한 페이로드 및 우회 목록

XSS 페이로드 - JavaScript의 원더 랜드 예기치 않은 사용법 등

exploitalert.com- 익스플로잇 데이터베이스

리버스 쉘 생성기 - 로컬 스토리지 기능, URI & Base64 인코딩, MSFVENOM 생성기 및 원시 모드를 갖춘 온라인 리버스 쉘 생성기

Hackerone Hacktivity- Hackerone의 최신 해커 활동 참조

Bugcrowd CrowdStream- BugCrowd 프로그램에 대한 수용 및 공개 된 제출 쇼케이스

gtfoargs- 인수 주입을 위해 조작 할 수있는 유닉스 이진의 선별 된 목록

shell-storm.org/shellcode -Shellcodes 데이터베이스 연구 사례

클라우드 해킹 - 공격적인 보안 전문가가 다음 클라우드 악용 모험에서 사용할 수있는 공격/전술/기술 백과 사전

LOLDRIVER- 취약하고 악의적이며 악의적 인 Windows 드라이버를 모은 오픈 소스 프로젝트

PWNWIKI- 액세스 후해야 할 일을위한 TTP (도구, 전술 및 절차) 수집

CVEXPLOITS 검색 - 인터넷 전역에서 CVE 익스플로잇을위한 포괄적 인 데이터베이스

variot -variot ioT는 데이터베이스를 이용합니다

LOOBINS- 다양한 내장 MACOS 바이너리에 대한 자세한 정보와 위협 행위자가 악의적 인 목적으로 사용할 수있는 방법

연합 익스플로잇 스코어링 시스템 - 새로운 및 기존 취약점을 동적으로 채점하여 악용 가능성을 반영하는 모델

WADCOMS- Windows/AD 환경에 대해 사용할 수있는 공격적인 보안 도구 목록 및 해당 명령이 포함 된 대화식 치트 시트

lolapps- 일상적인 착취를 수행하는 데 사용할 수있는 응용 프로그램의 개요

하드웨어 사용 - 악성 하드웨어 및 악성 장치 식별 및 활용에 대한 지침을 제공하는 리소스 컬렉션

파이프 라인의 생활 - CI/CD 파이프 라인에서 일반적으로 사용되는 개발 도구를 사용하여 임의의 코드 실행을 달성하는 방법

버그 바운티 플랫폼 크라우드 소싱

Bugcrowd : https://www.bugcrowd.com/

Hackerone : https://www.hackerone.com/

intigriti : https://www.intigriti.com/

Yeswehack : https://www.yeswehack.com/

OpenBugbounty : https://www.openbugbounty.org/

개별 프로그램

메타 : https://www.facebook.com/whitehat

Google : https://about.google/appsecurity/

버그 바운티 보고서 형식 제목

첫 번째 인상은 마지막 인상입니다. 보안 엔지니어는 먼저 타이틀을보고 문제를 식별 할 수 있어야합니다. 어떤 종류의 기능을 남용 할 수 있는지 또는 어떤 종류의 보호를 우회 할 수 있는지 쓰십시오. 한 줄만 작성하십시오. 가능한 경우 제목에 문제의 영향을 포함하십시오. 설명

이 구성 요소는 취약성에 대한 세부 정보를 제공하며 여기에 취약점을 설명하고 테스트 중에받은 경로, 종말점, 오류 메시지에 대해 쓸 수 있습니다. 취약한 소스 코드 인 HTTP 요청을 첨부 할 수도 있습니다. 재현하기위한 단계

버그를 재현하기 위해 단계적 프로세스를 작성하십시오. 앱 소유자가 찾은 내용을 확인하고 시나리오를 이해할 수 있어야합니다. 문제를 입증하려면 각 단계를 명확하게 작성해야합니다. 이는 보안 엔지니어가 빠르게 심사하는 데 도움이됩니다. 개념 증명

이 구성 요소는 전체 작업의 시각입니다. 데모 비디오를 녹화하거나 스크린 샷을 첨부 할 수 있습니다. 영향

실제 영향, 공격자가 취약성을 성공적으로 이용하면 공격자가 활용할 수있는 방법에 대해 쓰십시오. 어떤 유형의 가능한 손상을 수행 할 수 있습니까? (이론적 영향에 대한 글쓰기를 피하십시오) 조직의 비즈니스 목표와 일치해야합니다.

• 노트를 이용하십시오
• 버그 바운티 사냥
• 마인드 맵
• CQR Company -Idor
• Mindapi 참조
• Mindapi Play
• 웹 보안 취약점
• 사냥 방법
• ACUNETIX 웹 취약점
• 취약점 점검표
• 웹 앱 해킹
• 웹 응용 프로그램을위한 핸드북
• 멋진 버그 바운티 쓰기
• Howtohunt
• 자동 스캐너
• IRED 팀
• 홀리 팁
• 멋진 웹 보안
• 취약한 기계
• 웹 취약점 방법론
• LFI 치트 시트
• PayloadSallthethings
• 웹 취약점 방법론
• 네트워크 보안
• 실용적인 버그 현상금
• Offsec 도구
• 블로그 감지
• 웹 앱 Pentest
• 프로젝트 치트 시트
• Salmonsec 치트 시트
• 버프 스위트 확장
• 멋진 버프 확장
• 버그 바운티

• 멋진 버그 바운티 쓰기
• 펜터스 토지 쓰기
• 블로그 감지
• 쓰기

중간 : https://medium.com/analytics-vidhya/a-beginners-guide-to-cyber-security-3d0f7891c93a

Infosec Writ

Hackerone Hacktivity : https://hackerone.com/hacktivity

Google VRP Writ

• YouTube 비디오 1
• YouTube 비디오 2
• YouTube 비디오 3
• Google 프레젠테이션

• YouTube 비디오
• 마인드 맵
• Galaxy Bug Bounty 체크리스트
• 버그 바운티 마인드 맵
• 버그 바운티 방법론

• Ringzer0 CTF
• 나를 뿌리
• 공격적인 보안 실험실
• 포트 스위거
• vulnhub
• 전복
• Hackxpert Labs
• 방어합시다
• echoctf
• authlab
• 프롬프트 수수께끼
• 247ctf
• ctflearn
• W3Challs
• 크랙 메스
• 암호화
• Hacker101
• 이 사이트를 해킹하십시오
• picoctf
• pwnable.xyz
• 해킹 허브
• 버그 바운티 헌터
• Java 취약 실험실
• 자바 보안 과정
• 웹 해킹 KR
• Websec fr
• 수나 타스
• 프롬프 트리드
• pwntn
• HBH 인증
• 주제별 수수께끼

취약성 평가, 버그 사냥 및 침투 테스트를 포함하여 사이버 보안의 다양한 측면을 배우고 연습 할 수있는 이러한 자원을 탐색 할 수 있습니다.