Vivo del Bug Bounty y respondo preguntas

Galuctico
ForoCoches: Usuario
#1
Pues eso, para el que no sepa en que consiste el Bug Bounty es básicamente reportar vulnerabilidades a cambio de dinero. Hay distintas plataformas pero la más famosa y la que utilizo yo es hackerone, que se encarga de hacer de intermediario entre las empresas y los hackers. Cada empresa tiene su scope, son las condiciones que ponen para determinar lo que puedes o no puedes hacer, y un rango de las recompensas que ofrecen dependiendo de la criticidad de las vulnerabilidades que se encuentren.


Antes de lanzarme definitivamente a dedicarme únicamente al Bug Bounty trabajé como pentester en una empresa donde cobraba 32K. No estaba mal, se me hacía ameno porque cada día había que hacer cosas distintas, y con el resto del equipo muy bien donde a día de hoy sigo manteniendo relación con muchos. Simplemente hubo un momento donde empecé a pensar maneras para sacar un pequeño sobresueldo al mes y di con el Bug Bounty. Me mantuve unos meses sacando de los bountys entre 500-800 dolares mensuales.


Así durante un tiempo hasta que me empezó a llamar más la atención, mejoraba mi metodología, sacaba más vulns... Y vi que necesitaba dedicarle mucho más tiempo para sacarle el máximo partido. Me arriesgué, dejé el trabajo, me di de alta como autónomo y a darle caña. Ahora trabajo cómodo desde casa, ahorrándome la hora de ida y de vuelta que tenía que hacer para ir a mi anterior curro. Destacar que no es ni mucho menos dinero fácil, se necesita mucha formación previa, constancia, y frustrarse lo menos posible cuando sacas duplicados (un duplicado es que uno ha reportado la misma vulnerabilidad que tú antes y es a él a quien le dan la recompensa), que sobretodo al principio es muy normal.


Mis ingresos van variando, obviamente dependo de lo que saque. Unos meses 2000, otros 1500, 4800, 3000, en abril 20.000 porque encontré una crítica, en enero 50.000 (la vuln más alta que he encontrado hasta la fecha). Así llevo año y medio.
Sagitarius
ForoCoches: Usuario
#2
Fotos?
guillefix
ForoCoches: Miembro
#3
Si si, pero sabes juankear el feisbur de mi vecina?
h5ku
ForoCoches: Miembro
#4
Pon perfil de h1
Yellen
Gran Miembro
#5
¿como sabes que lo del duplicado es verdad y no te están tangando?
zomig
Cuenta Premium
#6
Cita de Galuctico
Pues eso, para el que no sepa en que consiste el Bug Bounty es básicamente reportar vulnerabilidades a cambio de dinero. Hay distintas plataformas pero la más famosa y la que utilizo yo es hackerone, que se encarga de hacer de intermediario entre las empresas y los hackers. Cada empresa tiene su scope, son las condiciones que ponen para determinar lo que puedes o no puedes hacer, y un rango de las recompensas que ofrecen dependiendo de la criticidad de las vulnerabilidades que se encuentren.


Antes de lanzarme definitivamente a dedicarme únicamente al Bug Bounty trabajé como pentester en una empresa donde cobraba 32K. No estaba mal, se me hacía ameno porque cada día había que hacer cosas distintas, y con el resto del equipo muy bien donde a día de hoy sigo manteniendo relación con muchos. Simplemente hubo un momento donde empecé a pensar maneras para sacar un pequeño sobresueldo al mes y di con el Bug Bounty. Me mantuve unos meses sacando de los bountys entre 500-800 dolares mensuales.


Así durante un tiempo hasta que me empezó a llamar más la atención, mejoraba mi metodología, sacaba más vulns... Y vi que necesitaba dedicarle mucho más tiempo para sacarle el máximo partido. Me arriesgué, dejé el trabajo, me di de alta como autónomo y a darle caña. Ahora trabajo cómodo desde casa, ahorrándome la hora de ida y de vuelta que tenía que hacer para ir a mi anterior curro. Destacar que no es ni mucho menos dinero fácil, se necesita mucha formación previa, constancia, y frustrarse lo menos posible cuando sacas duplicados (un duplicado es que uno ha reportado la misma vulnerabilidad que tú antes y es a él a quien le dan la recompensa), que sobretodo al principio es muy normal.


Mis ingresos van variando, obviamente dependo de lo que saque. Unos meses 2000, otros 1500, 4800, 3000, en abril 20.000 porque encontré una crítica, en enero 50.000 (la vuln más alta que he encontrado hasta la fecha). Así llevo año y medio.

Shur, dame tips, porque estoy igual que tú. Pero empezando, únicamente he encontrado 2 y las 2 duplicadas que no me han contado


¿Cómo eliges el programa al principio en el que participar? ¿Sueles trabajar en programas privados para ganar esa pasta? De verdad que a esto le estoy dedicando un cojon de horas. Tengo muchos scripts para automatizarme la parte inicial. ¿Lo que has hecho ha sido elegir 3-4 empresas y con un hosting en la nube escanearlas constantemente hasta que saquen un subdominio nuevo y asi ser el primero?


Todo lo que miro está ultra securizado. Esas webs webs no se parecen en nada a las que audito en el curro...


Si no quieres responder por aqui, pq te da cosa puedes mandarme mp. O incluso un TG si buscas un compi de batallas
xokolat
ForoCoches: Miembro
#7
Teniendo conocimientos de informatica y redes, como te inicias en el mundo del bug bounty??

Gracias y un saludo
arrowhead
ForoCoches: Miembro
#8
Sitio. Interesa
CptainObv
ForoCoches: Usuario
#9
Has tenido problemas con alguna empresa por tema de scope?
arrowhead
ForoCoches: Miembro
#10
¿Que consejos darías para empezar en el mundo del Bug Bounty? Dando por hecho los conocimientos técnicos.
¿Que plataforma recomiendas? ¿Cómo funciona el tema de los programas privados? ¿Nos puedes contar si tienes montado algo para automatizar procesos (info gathering, escaneos, etc)? ¿Trabajas con máquinas desde la nube o con máquinas virtuales en local? Gracias!
Trenck
Pervi: Miembro
#11
Y como encuentras los códigos sobre los que detectas vulnerabilidades?? Te los ofrece la página esa hackerone? Como te registras?
zpk
Membrillo
#12
Interesante, gracias shur. ¿Podrías poner un ejemplo de alguna vulnerabilidad interesante descubierta por tí? (Ya parcheada)
loqasto
ForoCoches: Miembro
#13
Que guapo shur, la verdad que algún día me gustaría dedicarme a eso también

De momento me he sacado la certificación CPTS de hackthebox y estoy buscando mi primer trabajo como Pentester

Como recomiendas empezar? Igual que hiciste tú pasando desde un trabajo a hacerlo de forma autónoma? O lo harías de forma diferente?
Trenck
Pervi: Miembro
#14
up
Kintana
ForoCoches: Usuario
#15
Me alegro que te haya salido bien la jugada shur, por curiosidad hace falta dominar algún lenguaje concreto o algún stack para ese mundillo?
Muslimmanhasam
ForoCoches: Usuario
#16
Me habia imaginado que te ganabas la vida cazando bichos para revenderlos o algo asi
_WINSTROLL
ForoCoches: Miembro
#17
Buscas vulnerabilidades en ps5?
Galuctico
ForoCoches: Usuario
#18
Cita de loqasto
Que guapo shur, la verdad que algún día me gustaría dedicarme a eso también

De momento me he sacado la certificación CPTS de hackthebox y estoy buscando mi primer trabajo como Pentester

Como recomiendas empezar? Igual que hiciste tú pasando desde un trabajo a hacerlo de forma autónoma? O lo harías de forma diferente?
En mi caso aprendí mucho currando también
Galuctico
ForoCoches: Usuario
#19
Cita de Traciano
Muy interesante shur
Qué estudios tienes?
Reglados el grado medio de SMR y el superior de ASIR. Te da unas bases de informática en general, redes s.o... pero nada que ver, en este campo hay que ser autodidacta
Leslie W.Sunday
Jefe Mayor y buzo
#20
Cuando llegues a 70k al año, zumbando a Andorra.
Galuctico
ForoCoches: Usuario
#21
Cita de CptainObv
Has tenido problemas con alguna empresa por tema de scope?
De momento no
panzaburro
ForoCoches: Miembro
#22
Cojo sitio, ne sumo a la espera de algunas preguntas ya hechas.
Mateico
ForoCoches: Usuario
#23
Que bueno Shur!

Puedes compartir en que consistían las de 20k y 50k?

Es mucha pasta para que sea algo simple, enhorabuena por el curro.
ChillinPizza
ForoCoches: Usuario
#24
Si sacas esas cantidades haciendo el bien, supongo que haciendo el mal sacarías diez veces mas, no? O es un poco mito?
bytewin
ForoCoches: Miembro
#25
Interesante modo de ganarse la vida.
Itsmyspot
ForoCoches: Miembro
#26
Interesante.

Empresas de todo el mundo? Sabes el nombre de la empresa a la que le buscas fallos? Alguna española?
Jorah
ForoCoches: Miembro
#27
Interesante shur, me mantengo leiendo preguntas
Checo1983
ForoCoches: Miembro
#28
Interesante. Sitio.
Galuctico
ForoCoches: Usuario
#29
Cita de ChillinPizza
Si sacas esas cantidades haciendo el bien, supongo que haciendo el mal sacarías diez veces mas, no? O es un poco mito?
Eso depende mucho siempre shur no te sabría decir exactamente
Galuctico
ForoCoches: Usuario
#30
Cita de Itsmyspot
Interesante.

Empresas de todo el mundo? Sabes el nombre de la empresa a la que le buscas fallos? Alguna española?
Si, en la propia plataforma están el nombre de las empresas que hay en ellas con su respectivo scope. Desde empresas no muy conocidas hasta Paypal, visa, playstation, tinder, coinbase, yahoo, tiktok... hasta pornhub
← A General
Amazon
Nuevas ofertas cada día