Bug Bounty Hunting

Prerequisites:

• Zrozumienie podstawowych technologii internetowych (HTML, HTTP, itd.)
• Doświadczenie w używaniu przeglądarki internetowej i popularnych narzędzi programistów
• Silne zainteresowanie cyberbezpieczeństwem i etycznym hakowaniem

Wybrane odbiorcy

• Początkujący etyczni hakerzy
• Entuzjaści bezpieczeństwa i specjaliści IT
• Developerzy i testerzy QA zainteresowani bezpieczeństwem aplikacji internetowych

Overview:

Wyszukiwanie błędów w nagrodę jest praktyką identyfikowania zagrożeń bezpieczeństwa w oprogramowaniu, stronach internetowych lub systemach i odpowiedzialnego zgłaszania ich w zamian za nagrody lub uznanie.

To szkolenie prowadzone przez instruktora (online lub na miejscu) jest przeznaczone dla początkujących badaczy bezpieczeństwa, programistów i profesjonalistów IT, którzy chcą poznać podstawy etycznego wyszukiwania błędów i jak uczestniczyć w programach wyszukiwania błędów w nagrodę.

Na zakończenie tego szkolenia uczestnicy będą w stanie:

• Zrozumieć podstawowe koncepcje odkrywania podatności i programów wyszukiwania błędów w nagrodę.
• Używać kluczowych narzędzi, takich jak Burp Suite i narzędzia developerskie przeglądarek, do testowania aplikacji.
• Wykrywać powszechne błędy bezpieczeństwa internetowego, takie jak XSS, SQLi i CSRF.
• Zgłaszać jasne i wykonane raporty o podatnościach na platformy wyszukiwania błędów w nagrodę.

Format kursu

• Interaktywne wykłady i dyskusje.
• Ręczne używanie narzędzi wyszukiwania błędów w nagrodę w symulowanych środowiskach testowych.
• Zawarte ćwiczenia skupione na odkrywaniu, eksploatowaniu i zgłaszaniu podatności.

Opcje dostosowania kursu

• Aby poprosić o dostosowane szkolenie dla tego kursu na podstawie aplikacji lub potrzeb testowych organizacji, prosimy o kontakt w celu uzgodnienia.

Course Outline:

Wprowadzenie do Programów Bug Bounty

• Czym jest łowienie błędów bug bounty?
• Typy programów i platform (HackerOne, Bugcrowd, Synack)
• Kwestie prawne i etyczne (zakres, ujawnienie, NDA)

Klasy Zagrożeń i OWASP Top 10

• Zrozumienie OWASP Top 10 zagrożeń
• Przypadki z rzeczywistych raportów bug bounty
• Narzędzia i checklisty do identyfikacji problemów

Narzędzia Rzemiosła

• Podstawy Burp Suite (przechwytywanie, skanowanie, repeater)
• Narzędzia programisty przeglądarki
• Narzędzia do rozpoznania: Nmap, Sublist3r, Dirb, etc.

Testowanie Powszechnych Zagrożeń

• Cross-Site Scripting (XSS)
• SQL Injection (SQLi)
• Cross-Site Request Forgery (CSRF)

Metodologia Łowienia Błędów

• Rozpoznanie i wyliczanie celów
• Strategie testowania manualnego vs. automatycznego
• Porady i przepływy pracy przy łowieniu błędów bug bounty

Raportowanie i Ujawnianie

• Pisanie wysokiej jakości raportów o zagrożeniach
• Dostarczenie przykładu działania (PoC) i wyjaśnienia ryzyka
• Interakcja z triagerami i menedżerami programów

Platformy Bug Bounty i Professional Development

• Przegląd głównych platform (HackerOne, Bugcrowd, Synack, YesWeHack)
• Certyfikaty etycznego hakowania (CEH, OSCP, etc.)
• Zrozumienie zakresu programów, zasad zaangażowania i najlepszych praktyk

Podsumowanie i Następne Kroki