Bugcrowd University: plataforma educativa gratuita para investigadores en seguridad
La plataforma de crowdsourcing Bugcrowd lanzó esta semana Bugcrowd University, una plataforma de educación para investigadores en seguridad que pretende contribuir en el desarrollo de habilidades para la búsqueda de bugs.
Con el objetivo de promover el desarrollo y la educación de los profesionales en seguridad, compartir las últimas tecnologías y contribuir al desarrollo de habilidades en la búsqueda de bugs, surgió la idea de Bugcrowd University (BCU). Tal como lo indica su nombre, es una iniciativa de Bugcrowd, una reconocida plataforma de crowdsourcing en el campo de la seguridad que vincula a los investigadores en seguridad con empresas y/o desarrolladores para analizar productos en busca de bugs antes de lanzarlos al mercado (o posterior a su lanzamiento) para evitar ser víctimas de la explotación de vulnerabilidades. En este sentido, es muy conocida por coordinar programas de bug bounty para varias de las más reconocidas marcas a nivel mundial.
Cada módulo de Bugcrowd University se centra en técnicas y estrategias que desde Bugcrowd consideran pueden representar una gran oportunidad para el éxito de los investigadores que participan de programas de bug bounty.
El primero de los cinco módulos que lanzaron el pasado martes es sobre web hacking. Según publica en su sitio web, plantearon los contenidos apuntando a un alto estándar. Asimismo, cada módulo incluye referencias a sitios externos con información complementaria elaborada por profesionales de la seguridad informática.
Durante los próximos meses irán agregando más módulos a Bugcrowd University y desde la plataforma invitan a que la comunidad de la seguridad informática comente qué tipos de contenido le interesa. A continuación, te presentamos los webinarios disponibles.
5 webinarios disponibles
En este momento hay disponibles cinco webinarios. El primero es una introducción a Bugcrowd University donde se explica qué es BCU, cómo se estructuran los módulos, las bases de los programas de recompensas, cómo trabaja el laboratorio, prerrequisitos, herramientas y recursos. A continuación, podrás ver un video donde Jason Haddix te explica cada uno de estos puntos.
Un webinar donde explica algunas claves en el proceso de búsqueda de fallos y cómo crear una buena postulación de la vulnerabilidad descubierta, lo cual incluye la elaboración de buenos reportes.
Definido por OWASAP como control de acceso, algunas veces denominado autenticación, las pruebas de seguridad y control de acceso intenta determinar cómo una aplicación web logra accesos a contenidos y funciones de algunos usuarios y no de otros. En este webinario verás, entre otras cosas, una introducción a tipos de bugs de control de acceso.
El cuarto webinario disponible es sobre Cross Site Scripting (XSS). Esta vulnerabiluidad es uno de los bugs más comunes en Internet. Según explica en la plataforma, este tipo de error puede ser muy poderoso, sobre todo cuando es utilizado junto a otras vulnerabilidades y técnicas. En este webinario se presenta la historia de XSS y qué se puede hacer con esta vulnerabilidad.
Burp es una suite de herramientas para realizar pruebas de aplicaciones. Es de gran ayuda para pentesters y cazadores de bugs.
Fuente: https://www.welivesecurity.com/