boxug: el primer bug bounty en habla hispana

El colombiano José Pino (@jofpin) lanzó recientemente Boxug, el primer sistema de recompensas por reporte de vulnerabilidades en habla hispana. Su gran objetivo es la mejora de la seguridad de startups en Latinoamérica, incentivando a los programas de recompensa o bug bounties.

Para empezar y mediante el programa Bug Bounty Latam, el equipo de Boxug proporciona recompensas a los reportes válidos de ciertas vulnerabilidades. La recompensa mínima en dicho programa va de $3 USD a $21 USD, pero no hay una recompensa máxima. Las recompensas se pagan una vez hayan sido validadas por el equipo el mismo día, al recibir el informe.

VULNERABILIDADES CALIFICADAS

Cualquier problema o implementación que sea reproducible y afecte sustancialmente a la seguridad de los usuarios de las startups en latinoamerica es probable que esté en el ámbito del programa. Véase algunos ejemplos comunes:
  • Insecure Direct Object References (IDOR)
  • Authentication bypass | Broken Authentication and Session Management
  • Two-Factor Authentication Broken
  • Cross Site Request Forgery (CSRF)
  • Server-Side Request Forgery (SSRF)
  • Cross Site Scripting (XSS)
  • Cross Site Script Inclusion (XSSI)
  • XML External Entity Injection (XXE)
  • HTML injection en lugares no permitidos
  • Content Spoofing / External Authentication Injection
  • Remote Code Execution / shell injection (RCE)
  • Local File Inclusion (LFI)
  • Remote File Inclusion (RFI)
  • SQL Injection con filtrado de datos específicos (SQLi)
  • Fugas de información
  • Domain / Subdomain Takeover

EXCLUSIONES

No todas las vulnerabilidades reportadas pueden calificar para una recompensa monetaria. Sin embargo, todos los informes se revisan paso a paso y a cualquier informe que sea efectivo pero de muy bajo impacto se le concederá la posibilidad de un reconocimiento en el salón de la fama.
  • Login / Logout CSRF
  • DDoS
  • Self XSS
  • Rotura de confianza SSL/TLS
  • Vulnerabilidades que sólo afectan a usuarios de navegadores y plataformas anticuadas o sin parches
  • Falta de encabezados de seguridad que no conducen directamente a una vulnerabilidad
  • Resultados de herramientas o escáneres automatizados
  • Vulnerabilidades que requieren acceso físico al dispositivo de un usuario afectado

PLANTILLA DE INFORME

Tener en cuenta que la calidad/claridad de su informe es fundamental. Para que puedan reproducir la vulnerabilidad y validar su informe, hay que asegurarse de que contenga los siguientes elementos.

  • ¿Qué tipo de fallo está reportando? ¿Encaja con algún problema de CWE o OWASP?
  • ¿Cómo se reproduce la vulnerabilidad? (Ser conciso al informar, tratar de agregar capturas de pantalla)
  • ¿Cuál es la gravedad de la vulnerabilidad?
  • ¿Cuáles son algunos de los escenarios en los que un atacante podría aprovechar la vulnerabilidad?
  • Sugerir una posible solución (opcional)

WEB OFICIAL: https://boxug.com/

Comentarios