Ciao a tutti! Vorrei aprire una discussione sui programmi di bug bounty e le piattaforme che li ospitano. Se qualcuno ha dei consigli sugli errori da evitare quando si è agli inizi, o suggerimenti sulle migliori piattaforme da cui partire e quelle da evitare, sarebbero molto apprezzati. Ne vale davvero la pena o è solo un hobby? Da quello che ho visto in giro, sembra un po’ una giungla: persone che scoprono zero-day e non vengono pagate, competizione altissima, aziende che non pagano… Magari però sto esagerando e non è poi così male!
Io non ci ho ancora mai provato seriamente per questioni di tempo, ma penso che ci proverò prima o poi.
Il lavoro di automazione è una parte abbastanza importante di queste attività. In generale tutto l’aspetto del tooling.
Come ogni cosa, consiglio sempre di provarla senza farsi troppi piani mentali astratti. Poi, a seconda dei segnali che ricevi dal mondo, puoi capire come migliorare.
Ciao! Personalmente ho passato l’ultimo anno (2024) saltuarialmente, facendo circa 1 mese di ricerca e 2/3 mesi di pausa per dedicarmi al lavoro, con l’obbiettivo di approfondire i Bug Bounty partendo da zero.
Premettendo che non ho un background di sicurezza informatica essendo sviluppatore Web, ho dovuto nel frattempo anche studiare le varie vulnerabilità e approfondire concetti.
Ti posso dire che è effettivamente una giungla, ho fatto vari report che mi sono stati etichettati come duplicati perchè segnalati 1-2 giorni prima da altri ricercatori, o trovando vulnerabilità fuori ambito nel programma (RXSS ect…) concludendo con 1 sola vulnerabilità di grande impatto in circa 6 mesi di ricerca.
Le mie conclusioni valutando le mie Skill nel campo sono che se cerchi un guadagno o simili, non è la strada giusta almeno per i primi tempi. Ho però acquisito nozioni importanti, trovato fonti valide (il canale di leo ad esempio) a cui attingere e imparato tantissime concetti che utilizzo sopratutto nella scrittura di codice.
Un altro fattore principale è il tempo; Non credo sia possibile mettersi a fare ricerca di BB un’ora al giorno, almeno per me è un lavoro a tempo pieno, per questo ho deciso di prendermi settimane intere per fare ricerca.
Credo che continuerò anche nel prossimo anno cercando di allungare i tempi di ricerca se vedo risultati, sto ancora valutando.
Si diciamo in questo momento, con il lavoro + 2 canali youtube, non ho proprio il tempo neanche per provarci seriamente.
In futuro però non escludo a priori l’opportunità, una volta che mi sblocco un po’ di tempo.
Lascio questa intervista, vista di recente, in cui si parla appunto di Bug Bounty
in generale consiglio molto di seguire il canale Bug Bounty Reports Explained