El colombiano José Pino (@jofpin) lanzó recientemente Boxug, el primer sistema de recompensas por reporte de vulnerabilidades en habla hispana. Su gran objetivo es la mejora de la seguridad de startups en Latinoamérica, incentivando a los programas de recompensa o Bug Bounties.

Para empezar y mediante el programa Bug Bounty Latam, el equipo de Boxug proporciona recompensas a los reportes válidos de ciertas vulnerabilidades. La recompensa mínima en dicho programa va de $3 USD a $21 USD, pero no hay una recompensa máxima. Las recompensas se pagan una vez hayan sido validadas por el equipo el mismo día, al recibir el informe.

VULNERABILIDADES CALIFICADAS

Cualquier problema o implementación que sea reproducible y afecte sustancialmente a la seguridad de los usuarios de las startups en latinoamerica es probable que esté en el ámbito del programa. Véase algunos ejemplos comunes:

• Insecure Direct Object References (IDOR)
• Authentication bypass | Broken Authentication and Session Management
• Two-Factor Authentication Broken
• Cross Site Request Forgery (CSRF)
• Server-Side Request Forgery (SSRF)
• Cross Site Scripting (XSS)
• Cross Site Script Inclusion (XSSI)
• XML External Entity Injection (XXE)
• HTML injection en lugares no permitidos
• Content Spoofing / External Authentication Injection
• Remote Code Execution / shell injection (RCE)
• Local File Inclusion (LFI)
• Remote File Inclusion (RFI)
• SQL Injection con filtrado de datos específicos (SQLi)
• Fugas de información
• Domain / Subdomain Takeover

EXCLUSIONES

No todas las vulnerabilidades reportadas pueden calificar para una recompensa monetaria. Sin embargo, todos los informes se revisan paso a paso y a cualquier informe que sea efectivo pero de muy bajo impacto se le concederá la posibilidad de un reconocimiento en el salón de la fama.

• Login / Logout CSRF
• DDoS
• Self XSS
• Rotura de confianza SSL/TLS
• Vulnerabilidades que sólo afectan a usuarios de navegadores y plataformas anticuadas o sin parches
• Falta de encabezados de seguridad que no conducen directamente a una vulnerabilidad
• Resultados de herramientas o escáneres automatizados
• Vulnerabilidades que requieren acceso físico al dispositivo de un usuario afectado

PLANTILLA DE INFORME

Tener en cuenta que la calidad/claridad de su informe es fundamental. Para que puedan reproducir la vulnerabilidad y validar su informe, hay que asegurarse de que contenga los siguientes elementos.

• ¿Qué tipo de fallo está reportando? ¿Encaja con algún problema de CWE o OWASP?
• ¿Cómo se reproduce la vulnerabilidad? (Ser conciso al informar, tratar de agregar capturas de pantalla)
• ¿Cuál es la gravedad de la vulnerabilidad?
• ¿Cuáles son algunos de los escenarios en los que un atacante podría aprovechar la vulnerabilidad?
• Sugerir una posible solución (opcional)

WEB OFICIAL: https://boxug.com/

Fuente: HackPlayers