BUG BOUNTY : retour d'expérience après 3 mois
ฝัง
- เผยแพร่เมื่อ 16 มิ.ย. 2024
- Qu'est-ce que le Bug Bounty ? Comment ça marche ? Combien ça rapporte ? Dans cette vidéo je vais expliquer comment je me suis mis au bug bounty, et combien j'ai pu gagner en 3 mois.
J'essaye à la fois de partager les bons et les mauvais côtés de la discipline : si les chiffres peuvent donner envie, il y a aussi beaucoup de frustration, et une facilité accrue au burnout selon les personnes. Toutefois, il faut noter que la pratique est très formatrice, et durant ces trois mois j'ai beaucoup appris.
00:00 : Introduction
00:35 : Le choix d'un programme
01:11 : Pré account takeover
02:09 : Les premiers résultats
02:47 : Les points et les classements
03:49 : Changement de stratégie
04:47 : Première vraie vulnérabilité
06:50 : Les premières primes
08:33 : Les mauvais côtés du bug bounty
09:30 : Faites du Bug Bounty ! - วิทยาศาสตร์และเทคโนโลยี
T’es vidéos sont vraiment hyper cool c’est toujours un plaisir quand tu en sors une
Super intéressant, on veut un épisode 2 !
Vidéo instructive et belle à la fois. Je comprends bien le réveil en pleine nuit et le cerveau qui se met en marche. Tu as bien fait de lacher un peu
Super! je suis néophyte dans ce domaine mais c'est très interressant. merci pou rce retour et ce partage d'expérience
Super vidéo, expérience intéressante ! 👏
Un grand merci pour cette vidéo de qualité
Très bon retour d'expérience !
Super intéressant , avec umdi vrai taff pour des vrais salaires , rare en France 😅 , la vidéo est claire et ludique franchement trop bien 👍
Vraiment bravo à toi ! Le sentiment quand on trouve une faille critique est vraiment bien mais le pire c'est quand personne ne prend en compte cette menace ou comme dans ta vidéo te donne peu de crédit pour un problème critique qui peut tenter des hackeurs de changer de camp même si c'est dangereux.
Oui, malheureusement c'est assez courant :/
C'est dommage car j'aimais bien faire des tests sur le site en question, et je suis sur que j'aurais trouvé plein d'autres trucs dessus au vu du nombre de mécaniques possibles. Mais je n'ai pas envie de perdre du temps pour qu'au final ils me payent aussi peu
Félicitation pour tes réussites, la video est très bonne
Merci , super intéressant ! !
merci , vraiment super vidéo
merci vraiment pour ce contenu
Merci beaucoup pour la vidéo
Très intéressante ta vidéo, je reçois parfois des rapports openbugbounty sur mes sites, je suis pas un gros marchand Web, mais je paye toujours les découvreurs correctement
Hello, pour information tu peux contester la notation d’une vulnérabilité si tu n’es pas d’accord avec sa note attribuée. Sache que souvent ce n’est pas des personnes de la boîte elle-même qui réévalue les vulnérabilités remontées mais des ESN par exemple, donc n’hésite pas à contester en avançant des arguments quit à contacter directement la plateforme de bug bounty :)
De base la vulnérabilité a été prise à 500€, j'ai déjà contacté la plateforme et ils ont réussi a augmenter a 700€, le programme ne voulait pas monter plus haut
Un peu déçu, mais tant pis je bosserai plus avec eux
(eux = le programme, pas la plateforme de bug bounty)
@@hackintux5813 à ce niveau là le programme devrait même pas s'inscrire.
Incroyable
Magnifique vidéo et t'il possible de faire une vidéo sur ta méthodologie ?
Salut et Bravo ! belle réussite.
Est-ce que tu peux revendiquer la "paternité" de la vulnérabilité que tu as trouvée, la mettre sur ton cv par exemple ?
Merci pour la vidéo j'ai kiffé de zinzito
Hello, je suis dans le domaine du dev mais ces derniers temps je me rends compte de plus en plus que je suis plus attiré par le domaine de la sécurité et tout ses aspects est-ce que t’aurais un conseil a me donner pour une éventuelle reconversion, au passage très bonne vidéo.
Bien joué!
Tu veux pas tester mon eCommerce 😂👌🏽
gg
Bien joué!! Il y a du niveau, c'est pas à la porté de tout le monde. Au niveau des formations sur hackintux, ça continue ou tu as laissé tomber?
Hello
Merci pour ta vidéo j'ai adoré :)
Petite question, il faudrait combien de temps à peu près pour être prêt à faire du bug bounty et décrocher quelques primes ? si on est encore débutant dans le milieu ? :)
Avec des tools c’est tout en automatique donc tu peux te lancer
Salut, très bonne vidéo. Je me suis dit pourquoi pas essayer parce que la cybersécurité m'intéresse, sauf que je ne vois pas du tout comment on pourrait commencer a travailler dedans quand on a 0 expérience, tu aurais des conseils pour débuter ou autre dans la sécurité informatique ?
Les sites marchand qui ne te payent pas assez ou mal, tu a juste à utiliser leur faille et te faire des paniers gratuit 😅
Tu penses bien qu'ils ont corrigé la faille avant
@@lkfc625 à mon avis corriger une faille ça ne se fait pas en quelques jours seulement, surtout si c'est une grosse entreprise et encore plus s'il la considère comme medium
J’aurais fait de même mais sa reste illégal 😂😅
👍
Interessant. Est-ce que entre temps ces duplicates ont été corrigés ou les bugs de pre-auth sont toujours présents ? Parce que à un moment il faut les corriger non... ?
Certains oui, mais la plupart non : certains programmes ont même préféré rajouter une règle dans leur programme de bug bounty en disant que ce n'est pas une vulnérabilité éligible à une prime
Ça peut se comprendre car l'exploitation est peu probable, et le risque faible au final, mais en même temps ça reste une vulnérabilité...
Tips : Fait une vidéo dans laquelle tu reproduit le bug.
Une vidéo comme writeup
Félicitations
Donc si j'ai bien compris la fin de la vidéo c'est d'être patient
Aurais-tu un chemin à parcourir pour débuter dans le domaine ?
Super vidéo mais quand je vois le prix versé pour des vulnérabilités qui peuvent conduire a des pertes énormes côté entreprise et les résultats au bout de 3 mois je me dis que ça ne vaut clairement pas le coup.
Ce travail est effectivement très stylé comme tu le dis en fin de vidéo, par contre un "Robin des bois" ? 🤔 Pour moi c'est plutôt l'inverse... Il aurait probablement plutôt été du genre a partager un max la faille qui t'a rapporté que 700€ pour que les pauvres récupèrent un max l'argent de ces riches ingrats qui n'ont clairement pas respecté ton travail 😂
Je voudrais me concentrer sur une seul vulnérabilité , j'ai besoin de ton conseil, merci.
Hey, je pense que t'as oublie de nous explique comment tu as commence a tester d'autres vulns?(Vu que tu disais que tu etais focus seulement sur 0Auth?)
Je n'ai pas trop détaillé car je ne voulais pas que la vidéo soit trop longue, je ferais peut-être une vidéo dessus :)
C'est normal que les récompenses soient si maigres? J'aurai pensé que ce serait mieux rémunéré.
bah déja bravo, moi j' y suis depuis longtemps et malgré un bon niveau en ctf, bah rien a faire appart une xss et une idor en duplicate, cela dégoute pas mal mais bon..
super retour d'experience merci mais par contre c vraiment des chiens 700 balles alors que tu peux pas passer des commandes à 2000 gratuitement ça donne juste envie d'exploiter la faille
C'est vrai, mais il faut garder son côté éthique, même si évidemment sur le coup tu te poses la question
En vrais c'est sympa mais faut juste préciser que tu est diplômé et que tu a des compétences de assez haut niveau je pense et que ce n'est pas en commençant la cyber que au bout de 3 mois on a un résultat pareil
C'est vrai que je n'ai pas précisé ça
Par contre, pour moi le diplôme ne sert a rien : dans ce domaine, c'est surtout l'expérience et l'état d'esprit qui va jouer. Certains hacker qui n'ont pas de diplômes ont de bien meilleurs résultats que j'ai pu montrer dans cette vidéo
@@hackintux5813 Ce que je voulais dire pars diplôme c'est expérience mais c'est dans l'idée
8:31 ptdr belle ref
tu fait des audits ?
Courage nous avent on avait les sites de chalenge pour test nôtre level .
et quand trouvait une faille exploitable sur un site et que tu la déclarait a l'admin et te disait que c était illégal et qu'il préviendrais les autorisées pfff...
En seulement 3 mois, vous êtes devenu un véritable BUG HANTER, s'il vous plaît, pouvez-vous me donner vos ressources d'apprentissage ?
moin qu'un an que j'ai dicouvré Bug Bounty je suis touour en train d'apparndre mais j'arrive pas à trouver mon permier Bug mais je suis fou de Bug Bounty
Fais des bugs bounty avec des vrais gros rewards
Et ça t'a pris combien de temps de travail effectif pour trouver tous ces bugs (4700€) ?
En général trouver les premiers bugs ce n'était pas si long (1-2h), mais apres j'ai passé beaucoup de temps sans rien trouver
J'aimerais avoir 1% de sa confiance en soi
Il n'en est rien
C’est super comme vidéo, mais malheureusement, je trouve que comme d’habitude il est plus rentable d’être du côté du mal que du bien… Être payé une misère pour des bugs qui peuvent leur faire perdre des centaines de milliers d’euros, c’est vraiment du vol… Ça me fait plus penser à de l’exploitation qu’à un travail valorisé. Même si clairement, c’est super classe 😎
Oui c'est toujours pareil... Mais bon, faut que ce soit rentable pour l'entreprise qui se met en bug bounty aussi je suppose
Ce qui est frustrant c'est aussi qu'il faut être vraiment bon pour gagner beaucoup d'argent (et donc trouver beaucoup de choses), au final il y en a très peu qui gagnent vraiment bien leur vie de manière stable sur plusieurs années (pas seulement 3 mois comme moi) : c'est dur de ne pas se décourager au début je trouve
@@hackintux5813 Une chose intéressante, c’est combien d’heures as tu passé pendant ces 3 mois, car la rentabilité se calcule avec le temps passé ! D’après ce que tu as dis, j’imagine beaucoup trop pour cumuler un travail à temps plein et en plus faire du bug bounty !
La plupart des vulnérabilités, je les ai vu assez rapidement, mais une fois celles ci trouvées je passais beaucoup de temps a ne plus trouver grand chose (je n'ai pas noté combien de temps exactement, mais effectivement j'ai sûrement un peu trop poussé)
Mais je pense que 3 mois c'est encore assez court pour vraiment extrapoler, il y a une grosse part de chance et si je recommençais, je trouverais peut-être 0 vulns
Bravo, bypass les procédures et demande 10x plus... Ou charge ton panier !
Tu ne dis pas combien de temps tu passé sur ces programmes ?
Il serait bien d'informer au début de la vidéo que tu travailles déjà dans le milieu.
Parce que ça n'a pas vraiment de sens : en quelques minutes j'avais trouvé la première vulnérabilité critique sur le programme privé, mais après plus grand chose, il vaut mieux voir la chose en prenant la quantité de travail sur le mois
Je dirais que j'y passais en moyenne 2h par soir si tu veux une idée
@@hackintux5813 Oui c'était ce que je voulais savoir. Merci!
Ces recherches de vulnérabilités, surtout dans le web (sites e-commerce en particulier), c'est fascinant, mais pas évident à apprendre ... A tout hasard, serais-tu disponible pour du 'coaching' en visio (payé bien sur 😅 ) ? Etant développeur web, j'ai quelques bases.
Salut,
je souhaiterais faire du bug bounty dans les années a venir et j'aimerais savoir comment tu as pu avoir un niveau suffisant ?
Est ce possible d'atteindre ton niveau avec du thm et htb ? Merci d'avance
Pour commencer, il propose des cours super sympa sur son site. Ce sont des cours sur les commandes et les droits sur Linux. Ces cours m’ont motivé pour faire une reconversion professionnelle dans l’informatique (Administrateur Système et Réseaux) 😀
@@-SiB- merci pour ton retour, il est vrai que je n'ai pas parlé de mon profil, je suis en master cyber sécurité et j'ai déjà plusieurs années en alternance en tant que technicien et admin système et réseau et je fais du tryhackme depuis 1an et du hack the box depuis 3mois.
@@gone9582 ha oui ! Je ne t’ai pas beaucoup aidé du coup 🤣 ps : tu as déjà essayé de te lancer tout simplement ?
@@-SiB- non justement je me trouve pas assez fort, mais mon but serait de me lancer d'ici la fin d'année
@@gone9582 je n’y connais pas grand chose, mais je pense que tu ne t’engages pas beaucoup à essayer ! Je pense que tu vas gérer 👍🏻. Tu as l’air de manquer un peu de confiance en toi !
Bro les grosses boites flingues les ils méritent non ?
Tkt pas derrière ils patch mais aumoins tu fais ta propre prime
pour la faille des paniers a 2000 euro gratuitement jaurai pas remonter la faille jaurai fait un panier tranquille
c est une RACE CONDITION non ? ;)
Même pas ! C'est vraiment un bug logique à cause d'une fonctionnalité bizarrement conçue
Promo'SM
Tu dit que ta trouver un bug et qu'ils ne t'ont pas payer psk c'était déjà trouvé.. mais eux ils ne corrige pas le bug depuis le temps ??? C'est bizarre de laisser des erreurs comme ça nan ?
Ils corrigent en fonction de la criticité de la vulnérabilité, ici en l'occurrence ce n'est pas une très grosse vulnérabilité donc ils prennent un peu plus de temps
@@hackintux5813 ah okay merci 😅
mais c'est difficile
Non mais vend nous la technique je te paye 2k au lieux de pauvre 700€
je me demande si au lieu de le dire au entreprise, t aurait profiter de ces failles, combien d argents t aurait ammasse, j imagine beaucoup plus, apres, yen a qui faut aider, mais l entreprise qui ta payer 700e, sont des vrais serpents du deserts, elle merite que les gens profitent de leur faille et se font un max mdr
C mal payé
Perso je ne trouve pas : il faut savoir que je n'étais clairement pas a plein temps dessus, j'avais mon taf classique à côté
Donc ça fait une moyenne de plus de 3k par mois en salaire "bonus", je trouve ça plutôt bon perso
Ça me rappelle le film Sneakers (1992). Mais tu es surement trop jeune pour le connaitre. 😁 th-cam.com/video/DXWdj5-CTjI/w-d-xo.htmlsi=S3IEwaqbklmhdej6