Bug Bounty Hunter werden?
Wie kann ich zu einem Bug Bounty Hunter werden.
3 Antworten
Finde Sicherheitslücken, baue ein PoC für deine Exploitchain und melde das ganze bei HackerOne oder anderen BugBounty-Programmen.
Für einfache Bugs bekommst du nur ein paar hundert Euro, in der Summe sind die aber viel leichter zu finden, als Zeroclick-Exploitchains, für die man aber Zichtausende bekommt.
Einfache Bugs zum Browser crashen gibts wie sand am Meer, und als Anfänger würde ich mich darauf stürzen. Kleinvieh macht auch Mist. :)
Tipp: Ich stürze mich dabei immer auf relativ neue Features, weil man da IMMER etwas findet. Guck dir also an, welche neuen JS-APIs oder Datenformate bei einem bestimmten Release hinzugekommen sind. Die bringen mir regelmäßig so um die 100 bis knapp über 1000 Euro.
Bei anderer Software als Browsern reicht meistens ein Hexeditor aus, um Kleinvieh zu finden. Veraltete zlib? Zack, 100 Euro. Aufruf von sprintf und Miniexploit? Zack, 300 Euro.
Langweilige herkömmliche Bugs findet man IMMER und ÜBERALL.
Ideal also für Anfänger.
Wie man am Namen schon erkennen kann "bounty Hunter", bist du dort selbständig.
Unternehmen wie Google haben Bug bounties, du musst dann versuchen Bugs zu finden. Natürlich innerhalb deren Bedingungen, sonst kannst du dich auch strafbar machen.
Udemy Kurse, NahamSec's Recon Methodology und vor allem CTF (Capture the Flag) von Hacker101
