Este mes, en el marco del Mes de la Concienciación sobre la Ciberseguridad, GitHub presenta a @xiridium, uno de los investigadores de seguridad con mejor desempeño en su programa Bug Bounty. Su historia es una inspiración y sus técnicas, una guía para quienes buscan iniciarse en este campo.
El Programa Bug Bounty de GitHub: Un Pilar de la Seguridad
GitHub se toma muy en serio la seguridad y fiabilidad del código que impulsa millones de proyectos. Su programa Bug Bounty es una pieza clave para proteger tanto la plataforma como el ecosistema de software en general.
Con el auge de funcionalidades impulsadas por IA como GitHub Copilot y GitHub Spark, la seguridad es más importante que nunca. La colaboración con investigadores de seguridad expertos es esencial para identificar y resolver vulnerabilidades en tecnologías emergentes y tradicionales.
Programa VIP: Acceso Exclusivo para Cazadores de Bugs de Alto Nivel
GitHub ha creado un programa VIP para aquellos investigadores que demuestran consistentemente experiencia e impacto. Los miembros VIP disfrutan de:
- Vistas previas de productos y funcionalidades beta antes de su lanzamiento público.
- Interacción directa con el equipo de GitHub Bug Bounty y los ingenieros detrás de las funcionalidades.
- Regalos exclusivos de Hacktocat.
@xiridium: Un Cazador de Bugs en el Punto de Mira
@xiridium destaca por su habilidad para descubrir bugs de lógica de negocio y problemas sutiles pero impactantes. A pesar de la complejidad de sus hallazgos, proporciona pasos de reproducción claros y concisos, agilizando el proceso de investigación.
Entrevista con @xiridium: Secretos de un Cazador de Bugs Exitoso
A continuación, te presentamos algunos extractos de la entrevista a @xiridium, donde comparte su experiencia y consejos:
¿Cómo te involucraste en Bug Bounty?
Empecé jugando CTFs (capture the flag) y me entusiasmó la idea de encontrar bugs en aplicaciones reales. La aprobación de la comunidad y la mejora continua de mis habilidades técnicas son lo que me motiva a seguir.
¿Qué haces cuando no estás hackeando?
A los 30 años empecé a tocar música y a cantar. También me relajo gastando mis recompensas en sets de Lego.
¿Cómo te mantienes al día sobre las tendencias de vulnerabilidades?
Aprendo sobre la marcha. Cuando veo código de Protocol Buffers interesante o se usa un nuevo proveedor de la nube, me digo: “Es hora de aprender sobre esto”. También recomiendo seguir a Intigriti en Twitter, pero no uses los consejos ciegamente, entiende de dónde vienen.
¿Qué herramientas o flujos de trabajo han cambiado tu forma de investigar?
Definitivamente ChatGPT y otros LLMs. Son un salvavidas para la codificación. Considera a un LLM como un desarrollador junior asignado a ti: divide las tareas en partes pequeñas, aprueba el plan de ChatGPT y luego deja que codifique.
¿Cuál es tu proceso para encontrar bugs complejos?
Me enfoco en profundizar en una sola aplicación en lugar de abarcar mucho. Mi objetivo es conocer cada endpoint y parámetro de solicitud a fondo, hasta el punto de poder escribir la misma aplicación. Luego, reviso los posibles impactos más graves y pienso en qué podría salir mal en el desarrollo.
Tomo notas de cosas que parecen extrañas, como dos endpoints diferentes para lo mismo (`/user` y `/data/users`). Esto puede indicar falta de sincronización entre equipos y aumentar la complejidad del sistema.
Otro ejemplo es encontrar subdominios en diferentes proveedores de nube (AWS y GCP). Esto sugiere diferentes equipos gestionando las instancias, lo que duplica la probabilidad de errores.
¿Cuáles son tus clases de bugs favoritas para investigar?
Soy bueno buscando credenciales filtradas y bugs de lógica de negocio. También me especializo en encontrar matices sutiles. Para encontrar datos filtrados, busco endpoints únicos y uso Google dorks en Slideshare, Postman, Figma y otras herramientas de desarrollo para entender mejor cómo funciona la aplicación.
¿Qué consejo darías a los investigadores que quieren participar en Bug Bounty?
Definitivamente, Portswigger Labs y hacker101. Recorre las tareas más fáciles de cada categoría y encuentra algo que te interese. Luego, aprende todo lo que puedas sobre ese bug: lee informes, resuelve CTFs, HackTheBox y todos los laboratorios que encuentres.
¿Qué te hubiera gustado saber cuando empezaste?
Olvida la idea de que “definitivamente esto no es vulnerable” o “seguro que este activo ya se ha revisado”. He visto muchos casos en los que otros hackers encontraron bugs en el dominio www del programa público.
Un consejo adicional
Si conoces clases de vulnerabilidad raras, no dudes en hacer algunas pruebas. Una vez encontré padding de Oracle en una cookie de autenticación y ahora lo busco en cada objetivo que encuentro.
Conclusión
La historia de @xiridium es un claro ejemplo de cómo la pasión, la dedicación y el aprendizaje constante pueden llevar a un investigador de seguridad a la cima del programa Bug Bounty de GitHub. Sus consejos son valiosos para cualquiera que aspire a seguir sus pasos y contribuir a un internet más seguro.
Leave a Comment