Triar el programa 101
Índex
1. Tipus de programes
1.1. No Gestionats
1.2. Gestionats (plataforma)
1.2.1. Publics
1.2.2. Privats
2. Com trobar un programa
A part dels cercadors de programes de cada plataforma, tenim aquests recursos:
- Fire Bounty : Cercador de programes amb bones eines de filtratge.
- YesWeHack VDP Finder : Plugin per Firefox que detecta si un domini està en algun programa (crec que utilitza FireBounty) i/o si conté el security.txt a l'arrel.
- security.txt : S'ha definit com estandar que a l'arrel del domini s'hi afegeixi l'arxiu
security.txtcontenint informació de contacte sobre Security Disclosure així com possibles enllaços al programa de Bug Bounty associat.
3. Criteris
Alguns dels criteris que cal tenir presents alhora de triar un programa de Bug Bounty on dedicar-hi hores són (ordenats de més important a menys):
3.1. Tecnologies
Lògicament cal decantar-se per programes que utilitzin tecnologies en les que estem familiaritzats o especialitzats. Tampoc serà el mateix a nivell de competència un programa amb una webapp que un programa on s'hagi d'analitzar una App d'Android o Assembler.
3.2. Scope
A ser possible decantar-se per programes amb un scope ampli com *.domini o rangs de IPs sencers. D'aquesta manera tenim l'oportunitat de descobrir màquines que poca gent a trobat i tenir menys competència alhora de cercar bugs. Adicionalment, com més ampli el scope més terreny a cobrir i millor a nivell de competència com de quantitat de coses a provar i explorar.
3.3. Recompenses
Tot i que és llaminer triar un programa amb recompensa econòmica, per iniciar-se és recomanat triar-ne un sense recompensa. Així tindrem menys competència i de menys nivell alhora que quan reportem pujarem la reputació i així tindrem accés a programes privats interessants.
3.4. Antiguitat
Els nous programes generen més interés, ja que són terres inexplorades i plenes de bugs per descobrir. Això implica que hi ha més competència (hackers interessats) i es genera una carrera. Són interessants si aquesta competència és restringida (programes privats) o si tenim molt nivell i prou temps com per competir amb la resta de hackers.
Els programes antics han estat ja trillats, amb el que molts dels bugs clàssics estaràn resolts. Tanmateix si la companyia ha anat evolucionant i s'han implementat noves funcionalitats alhora que modificat les antigues, es poden trobar nous bug amb l'avantatge que el programa ja no genera tant interés i per tant no tindrà tanta gent buscant.
3.5. Afinitat
Cal trobar un programa amb el que estiguem familiaritzats a ser possible, ja que coneixerem tant la companyia com l'aplicació i serà més sencill explorar-la. Alhora que la motivació i el compromís augmentaràn.
3.6. Velocitat de resposta
La velocitat promig en la que classifiquen i responen a un report és super important, per evitar DUPs i que les possibles converses derivades no es duguin a terme dos messos més tard. També és un indicador dels recursos que hi ha avocat el client i del compromís que té.
3.7. Ratio reports enviats / tancats
La relació entre els informes de nous bugs detectats i els bugs arreglats pot donar una idea dels recursos invertits per l'empresa, però sobretot un indicador de:
- Facilitat per trobar bugs.
- Agilitat de l'empresa per gestionar-los (i pagar).
- Possibilitat de incorre en un DUP.
3.8. Activitat
Si un programa té molts reports significa que:
- Hi han molts hacker buscant.
- És una empresa amb moltes falles.
Cal revisar-ho i fer-ne valoració.