La Bugcrowd University (BCU) a été créée dans le but de promouvoir le développement et l'éducation des professionnels de la sécurité, de partager les dernières technologies et de contribuer au développement des compétences en matière de chasse aux bogues. Comme son nom l'indique, il s'agit d'une initiative de Bugcrowd, une plateforme de crowdsourcing reconnue dans le domaine de la sécurité qui relie les chercheurs en sécurité aux entreprises et aux développeurs, afin d'analyser les produits avant leur lancement sur le marché (ou après leur lancement) et d'éviter d'être victimes d'exploits de vulnérabilité. Bugcrowd est également bien connu pour la coordination de programmes de bug bounty pour plusieurs des marques les plus connues à travers le globe.
Chaque module de l'Université Bugcrowd se concentre sur les techniques et les stratégies qui, selon Bugcrowd, peuvent représenter une énorme opportunité pour le succès des chercheurs qui participent aux programmes de bug bounty.
Le premier des cinq modules lancés se concentre sur le piratage Web. Tel que publié sur leur site, ils ont augmenté le contenu en pointant vers une norme élevée. Chaque module comprend également des références à des sites externes avec des informations supplémentaires préparées par des professionnels de la sécurité informatique.
D'autres modules seront ajoutés l'Université Bugcrowd au cours des prochains mois. L’université utilise la plateforme pour inviter la communauté de la sécurité informatique à commenter les types de contenu qui les intéressent. Les webinaires disponibles sont présentés ci-dessous.
Cinq webinaires sont présentement disponibles :
2. Introduction à l'Université Bugcrowd
Cinq webinaires sont présentement disponibles. Le premier constitue une introduction à la Bugcrowd University. On y explique ce qu'est la BCU, comment les modules sont structurés, la base des programmes de récompenses, le fonctionnement du laboratoire, les conditions préalables, les outils et les ressources. Jason Haddix explique chacun de ces points dans la vidéo ci-dessous.
2. Comment réaliser de bonnes soumissions
Ce webinaire explique quelques points clés dans le processus de recherche de failles et comment créer une bonne soumission à partir de la vulnérabilité découverte, ce qui inclut la préparation de rapports efficaces.
3. Tests de sécurité et contrôle d'accès
Défini par Open Web Application Security Project (OWASP) comme contrôle d'accès, et parfois appelé authentification, les tests de sécurité et contrôles d'accès tentent de déterminer comment une application Web permet d'accéder au contenu et aux fonctions de certains utilisateurs et non d'autres. Ce webinaire représente, entre autres, une introduction aux types de bogues de contrôle d'accès les plus courants.
4. Vulnérabilité XSS (Cross Site Scripting)
Le quatrième webinaire disponible concerne le Cross Site Scripting (XSS). Cette vulnérabilité représente l'un des bogues les plus courants sur Internet. Comme expliqué sur la plateforme, ce type d'erreur peut être très puissant, surtout lorsqu'il est combiné avec d'autres vulnérabilités et techniques. Ce webinaire présente l'histoire de XSS et ce qui peut être réalisé avec cette vulnérabilité.
5. Introduction à la suite Burp
Burp est une suite d'outils pour tester les applications web. Il est vraiment utile pour les pentesters et les chasseurs de bogues.