#1 Bug Bounty — Руководство по поиску веб-уязвимостей и сообщениям о них. Введение.
Здравствуйте, дорогие друзья.
Я до сих пор помню, как впервые нашел критическую уязвимость. У меня уже было обнаружение нескольких незначительных ошибок в приложении.
Я тестировал CSRF, IDOR, и несколько утечек информации. В конце концов мне удалось связать их с полным захватом любой учетной записи на сайте: я мог входить от имени кого угодно, читать чьи-либо данные, и изменять их, как мне хотелось. Мгновенно я почувствовал, что обладаю сверхспособностями на сайте.
Я сообщил о проблеме в компанию, которая оперативно устранила уязвимость. Хакеры, вероятно, больше всего похожи на супергероев, которых я встречал в реальном мире. Они преодолевают ограничения, благодаря своим навыкам создания программного обеспечения. У программ гораздо больше возможностей, нежели для того, зачем они были созданы, и это то, что я люблю во взломе веб-приложений: все дело в творческом мышлении, чтобы сделать больше, чем кажется возможным.
Как и супергерои, этичные хакеры помогают поддерживать безопасность общества. Тысячи утечек данных происходит каждый год только в Соединенных Штатах. Понимая уязвимости, и как они возникают, Вы можете использовать свои знания во благо, чтобы помочь предотвратить злонамеренные атаки, защитить приложения и пользователей, и сделать Интернет более безопасным местом. Не так давно взлом и эксперименты с веб-приложениями были незаконны. Но теперь, благодаря программам вознаграждения за ошибки, Вы можете взламывать легально; компании создают программы вознаграждения за ошибки, чтобы вознаграждать исследователей безопасности за поиск уязвимостей в своих приложениях. Bug Bounty Bootcamp учит, как взламывать веб-приложения и как это делать легально, участвуя в этих программах. Вы узнаете, как ориентироваться в программах поощрения ошибок, выполнять, и проводить разведку цели, а также выявлять и использовать уязвимые места.
Bug Bounty Bootcamp — это не просто повествование о наградах за ошибки. Это руководство для начинающих хакеров, пентестеров и людей, которым интересно, как работает безопасность в Интернете. В следующих разделах, Вы узнаете, как злоумышленники используют распространенные ошибки программирования для достижения злонамеренных целей, и как Вы можете помочь компаниям, этически сообщая об этих уязвимостях их программам вознаграждения за обнаружение ошибок. Не забывайте использовать эту силу ответственно! Информация на данном ресурсе должна использоваться строго в юридических целях. Атакуйте только те системы, на взлом которых у Вас есть разрешение, и всегда соблюдайте осторожность при этом.
Удачного взлома!