Débutez avec Open Bug Bounty

By | January 7, 2019

Bonjour à tous,

Un rapide article pour vous présenter une plateforme que j’ai découverte récemment, Open Bug Bounty.

C’est un site de bug bounty classique avec plusieurs sites proposés, sauf que les entreprises/sites ne sont pas obligés de donner un “bounty”, généralement de l’argent ou des cadeaux.

Si vous ne savez pas ce qu’est le bug bounty je vous invite à lire cet article de Korben sur le sujet : Le business du Bug Bounty.

En bref le bug bounty peut-être privé ou public, il est généralement proposé par une entreprise et permet à des chercheurs en sécurité d’effectuer des tests de sécurité dans un cadre légal et d’être rémunéré ou de recevoir des cadeaux s’ils arrivent à trouver des failles dans le système. L’entreprise définit à l’avance plusieurs choses :

  • Le périmètre du bug bounty
  • Le montant des “bounty”
  • La liste des failles éligibles

Les principaux acteurs du bug bounty sont les suivantes :

Vous y trouverez des grands noms comme OVH, Dailymotion, Qwant, etc.
Il est aussi à noter que les entreprises comme Google, Facebook ou Twitter dispose généralement de leur propre plateforme.

Vous imaginez donc bien qu’il peut être difficile de trouver des failles dans les entreprises présentes sur ces sites, dû à leur niveau élevé de sécurité et aux chercheurs qui sont déjà passé là, et encore plus si vous débutez.

C’est là que je trouve un avantage à Open Bug Bounty, l’entreprise n’est pas obligée de vous rémunérer même si certaines le font quand même. Mais vous avez à votre disposition un grand nombre de sites Internet avec un niveau de sécurité moindre. Ce qui permet de trouver des failles de sécurité et de progresser sans perdre sa motivation et tout ça je le reprécise dans un cadre légal. J’ai eu l’occasion de tester plusieurs sites et j’ai pu trouver des failles assez rapidement, comme des XSS. Il est par contre interdit d’utiliser des outils automatisés qui peuvent se montrer intrusifs comme SQLMap par exemple.

Depuis le début ce site à permit de corriger 167.000 failles de sécurité sur différents sites, il y a aussi un peu plus de 250 sites actifs sur la plateforme et 8000 chercheurs.

J’espère que cet article vous aura plu, si vous avez des questions ou des remarques sur ce que j’ai pu écrire n’hésitez pas à réagir avec moi par mail ou en commentaire !

Merci pour votre lecture et à bientôt !

MRigonnaux

Leave a Reply

Your email address will not be published. Required fields are marked *