Com o objetivo de promover o desenvolvimento e a formação de profissionais de segurança, compartilhando as mais recentes tecnologias e contribuindo para o desenvolvimento de habilidades na busca por bugs, surgiu a ideia da Bugcrowd University (BCU). Como o próprio nome sugere, é uma iniciativa da Bugcrowd, uma plataforma de crowdsourcing reconhecida no área da segurança que vincula os pesquisadores de segurança com empresas e/ou desenvolvedores para analisar produtos em busca de erros antes de liberá-los para o mercado (ou após o seu lançamento) para evitar ser vítima de exploração de vulnerabilidades. Nesse sentido, a plataforma é bem conhecida por coordenar programas de bug bounty para várias das marcas mais reconhecidas em todo o mundo.
Cada módulo da Bugcrowd University se concentra em técnicas e estratégias que a Bugcrowd considera que podem representar uma grande oportunidade para o sucesso de pesquisadores que participam de programas de bug bounty.
O primeiro dos cinco módulos lançados na última terça-feira (07) é sobre web hacking. Conforme publicado no site, o conteúdo está enfocado em um alto padrão. Além disso, cada módulo inclui referências a sites externos com informações complementares elaboradas por profissionais de segurança da informação.
Durante os próximos meses, foram mais módulos à Bugcrowd University e, a partir da plataforma, convidam a comunidade de segurança da informação para comentar sobre os tipos de conteúdo em que estão interessados.
Confira os webinários (em inglês) disponíveis:
#1 Introdução à Bugcrowd University
Atualmente, há cinco webinários disponíveis. O primeiro é uma introdução à Bugcrowd University, em que se explica o que é BCU, como os módulos são estruturados, as bases dos programas de recompensas, como o laboratório funciona, pré-requisitos, ferramentas e recursos.
#2 Como fazer uma boa apresentação
Um webinário que explica algumas chaves para o processo de descoberta de bugs e como criar uma boa postulação da vulnerabilidade descoberta, incluindo o desenvolvimento de bons relatórios.
#3 Testes de segurança e controle de acesso
Definido pelo OWASP (Projeto Aberto de Segurança em Aplicações Web) como controle de acesso, às vezes chamado de autenticação, os testes de segurança e controle de acesso tentam determinar como uma aplicação web gerencia o acesso ao conteúdo e funções de alguns usuários e outros não. Neste webinário, o participante poderá ver, entre outras coisas, uma introdução aos tipos de bugs de controle de acesso.
#4 Vulnerabilidade XSS (Cross-site Scripting)
O quarto webinário disponível é sobre o Cross Site Scripting (XSS). Esta vulnerabilidade é um dos erros mais comuns na Internet. Conforme explicado na plataforma, esse tipo de erro pode ser muito poderoso, especialmente quando usado em conjunto com outras vulnerabilidades e técnicas. Este webinário apresenta a história do XSS e o que pode ser feito com essa vulnerabilidade.
#5 Introdução ao Burp Suite
O Burp Suite é um conjunto de ferramentas para a realização de testes de segurança em aplicações web. É uma grande ajuda para pentesters e caçadores de bugs.