Bug bounty

1. Programes Bug Bounty
De professió
"caçador/a de
recompenses"

2. INTRODUCCIÓ

3. INTRODUCCIÓ
Un programa Bug Bounty es tracta d'un
acord que ofereixen nombroses
organitzacions on ofereixen
recompenses (tant monetàries com no)
als individus que reportin errors,
vulnerabilitats i fallades de seguretat .

5. ORGANITZACIONS GUANYEN
Exèrcit de hackers
amistosos
Eliminar el risc de
vulnerabilitats de
Zero-Day
Solució rendible.
Proves de seguretat
en curs.

6. ESTADÍSTIQUES CLAU
● Facebook ha descobert més de
900 errors i ha pagat més de 5 milions
de dòlars EUA.
● Google ha pagat més de 9 milions de dòlars des del
llançament del seu programa de recompenses d'errors el
2010, inclosos més de 3 milions de dòlars el 2016.
● Mozilla ha pagat més d'1,6 milions de dòlars
● Yahoo ha pagat més de 2 milions de dòlars per
vulnerabilitats des del llançament del seu programa de
recompensa d'errors el 2013.
● Més de 100.000 hackers forts a la comunitat HackerOne.
Més de 20 milions de dòlars pagats en recompenses.

10. Apreneu a protegir la web pas a pas, amb els
materials d’aprenentatge interactius i pràctics

11. CAMÍ D’APRENENTATGE SUGGERIT
Si sou nou/va en seguretat web,
pot ser difícil saber per on començar

12. Atacs a cor de les
aplicacions web
Injecció SQL

13. 01
Notícies
Casos reals

14. SECTOR NOTÍCIES
GENERALITAT
El web de la Generalitat de
Catalunya exposa més de
5.000 dades que inclouen
correus i contrasenyes
VUELING
Vueling pateix una fallada
de seguretat i deixa a
l'
descobert dades de
milers d'usuaris
PLUGIN WP
WordPress va llançar una
actualització automàtica
que apedaça una
vulnerabilitat severa en un
popular connector

15. https://www.avast.com/es-es/c-sql-injection

16. 02
QUÈ ÉS?
De què estem parlant amb la injecció SQL?

17. SECTOR QUÈ ÉS?
SQLi (SQL Injection) és una tècnica
antiga on el hacker executa el
declaracions SQL malicioses per a
fer-se càrrec del lloc web.

18. 8%
L
'últim informe de Acunetix mostra 8% de l'objectiu
escanejat era vulnerable.

19. LA MÉS UTILITZADA
SQL Injection és una de les vulnerabilitats
web més perilloses. Tant és així que ha estat
l'element número 1 en el Top 10 de OWASP
https://es.wikipedia.org/wiki/OWASP_Top_10

20. AL MÓN REAL
Una situació en la qual una persona
va a sol·licitar una ocupació. El nom
deL candidat és Joan González, però
en la sol·licitud escriu «Contractar
Joan González». Quan el director de
contractacions llegeix el nom del
candidat en veu alta, l'equip de RR.
HH. li sent dir «Contractar Joan
González», així que li envien a Joan
una oferta d'ocupació formal.

21. https://www.cyberhelp.es/nociones-breves-acerca-de-
la-necesidad-de-la-parametrizacion-de-las-queries/

22. 03
Demostració
Veiem un cas

23. 04
COM EVITAR-HO
Solucions

24. COM EVITAR-HO
SANEJAR
Si un lloc web no pren les mesures
adequades per sanejar la introducció
de dades, un hacker pot injectar el
codi SQL que vulgui.
FIREWALL
WAF (Web application firewall):
tallafocs específic per aplicar regles
de filtrat sobre comunicacions http.
Generalment són regles que
cobreixen atacs comuns com XSS i
injeccions SQL.

25. CREDITS: This presentation template was created by Slidesgo,
including icons by Flaticon, and infographics & images by Freepik.
GRÀCIES!
Tens més preguntes?