Seguranca informacao
Bug Bounty: guia completo do hunter
Baixar PDFPlataformas de bug bounty, escopo, bounty economics, mentalidade de hunter, workflow de caça e como escolher programas lucrativos.
Bug bounty é o modelo onde empresas pagam pesquisadores de segurança para encontrar vulnerabilidades em seus sistemas. Em vez de ser explorado por atacantes, o sistema é testado por hunters éticos — e a empresa paga apenas por resultados.
Plataformas Principais
| Plataforma | Programas | Payout médio | Características |
|---|---|---|---|
| HackerOne | ~3.000+ | $500 — $5.000 | Maior plataforma, hacktivity pública, CTF |
| Bugcrowd | ~1.000+ | $400 — $4.000 | Crowdsource, programas managed, Ninja |
| Intigriti | ~500+ | $300 — $3.000 | Europe-focused, triage interno, excelentes payouts |
| Synack | ~200+ | $1.000 — $10.000+ | Vetted hunters, payouts altos, Red Team como serviço |
| YesWeHack | ~300+ | $300 — $3.000 | Europa, GDPR-friendly, bug bounty local |
| Open Bug Bounty | ~5.000+ | $0 — $500 | Não-pago obrigatório, bom para iniciantes |
Comparação de fluxo
HackerOne: Hunter → Report → Triage (HackerOne) → Program → Payout
Bugcrowd: Hunter → Report → Triage (Bugcrowd) → Program → Payout
Intigriti: Hunter → Report → Triage (Intigriti) → Program → Payout
Synack: Hunter vetted → Scan → Report → Triage → PayoutTipos de Programa
Public vs Private
| Tipo | Acesso | Vantagem | Desvantagem |
|---|---|---|---|
| Public | Aberto a todos | Fácil de começar | Mais competição |
| Private/Invite | Convite only | Menos competição, payouts melhores | Precisa de reputation |
Managed vs Unmanaged
| Tipo | Quem faz triage | Qualidade |
|---|---|---|
| Managed | Plataforma (HackerOne/Bugcrowd) | Consistente, profissional |
| Unmanaged | Própria empresa | Variável, pode ser lento |
Bounty Economics
Faixas de payout por tipo de vulnerabilidade
| Vulnerabilidade | Payout típico (public) | Payout típico (private) |
|---|---|---|
| XSS (reflected) | $100 — $500 | $500 — $2,000 |
| XSS (stored) | $500 — $2,000 | $2,000 — $10,000 |
| SQL Injection | $1,000 — $5,000 | $5,000 — $20,000 |
| SSRF | $1,000 — $5,000 | $5,000 — $15,000 |
| RCE | $5,000 — $20,000 | $10,000 — $100,000+ |
| Authentication bypass | $2,000 — $10,000 | $10,000 — $50,000 |
| IDOR (dados sensíveis) | $500 — $3,000 | $3,000 — $15,000 |
| Business logic | $500 — $5,000 | $2,000 — $20,000 |
| Information disclosure | $100 — $500 | $250 — $2,000 |
Fatores que aumentam payout
- Dado sensível acessado — PII, financeiro, saúde → payout alto
- Impacto no negócio — perda de receita, reputação → payout alto
- Complexidade baixa — fácil de explorar → payout alto (paradoxo)
- Automação possível — exploit que escala → payout alto
Fatores que reduzem payout
- Self-XSS — precisa de interação manual do usuário
- CSRF em endpoint não-crítico — baixo impacto
- Missing security headers — informativo, não explorável
- Version disclosure — apenas informação, sem exploit
Escolhendo Programas Lucrativos
Critérios de seleção
1. Scope size
→ Mais assets = mais superfície de ataque
→ Procure *.target.com, subdomains, APIs, mobile apps
2. Idade do programa
→ Programas novos (< 6 meses) têm bugs fáceis não encontrados
→ Programas antigos (> 2 anos) são mais escassos mas payouts maiores
3. Tecnologias
→ Se você domina React + Node.js, foque em programas com essa stack
→ GraphQL e APIs modernas tendem a ter mais lógica de negócio
4. Payout table
→ Prefira programas com bounty ranges definidos
→ Evite programas "swag only" ou "no monetary reward"
5. Triage quality
→ Programas managed (HackerOne/Bugcrowd) têm triage profissional
→ Programas unmanaged podem demorar meses para responderSinais de programa bom
- Tabela de bounties pública e detalhada
- Scope amplo (*.domain.com + APIs + mobile)
- Tempo de resposta < 30 dias
- Histórico de payouts em Hacktivity
- Changelog de scope frequente (significa que estão adicionando assets)
Sinais de programa ruim
- "We only accept critical vulnerabilities"
- Scope limitado a uma página estática
- Sem tabela de bounties
- Respostas > 90 dias
- Duplos fechados sem justificativa
Mentalidade do Hunter
O que separa hunters top dos medianos
Hunter mediano:
→ Só testa OWASP Top 10
→ Usa ferramentas com defaults
→ Para no primeiro "não encontrado"
→ Não lê o scope
Hunter top:
→ Entende a lógica de negócio
→ Customiza ferramentas e payloads
→ Tenta abordagens diferentes
→ Lê changelog, políticas, documentação de API
→ Faz bug chaining (combina bugs menores em impacto maior)
→ Documenta tudo para reutilizarBug Chaining — o segredo dos payouts altos
Bug chaining combina vulnerabilidades de baixo impacto em um ataque de alto impacto.
Exemplo de chain:
1. Information disclosure: API veta versão do framework
2. Known CVE na versão: permite path traversal
3. Path traversal lê /etc/passwd + config de DB
4. Credenciais de DB permitem acesso a dados de usuários
Individualmente:
→ Info disclosure: $200
→ Path traversal: $1,000
Encadeado como "Full account takeover via DB credential leak":
→ $15,000+Workflow de Caça (Standard Methodology)
Fase 1: Recon (30% do tempo)
# 1. Enumeração de subdomínios
subfinder -d target.com -all -o subs.txt
amass enum -passive -d target.com >> subs.txt
cat subs.txt | sort -u > all_subs.txt
# 2. Verificação de hosts vivos
cat all_subs.txt | httpx -silent -o alive.txt
# 3. Port scanning (top 1000 ports)
nmap -iL alive.txt -T4 -oN ports.txt
# 4. Tecnologias
cat alive.txt | httpx -silent -tech-detect -o techs.txt
# 5. Coleta de URLs
cat alive.txt | gau --threads 5 | sort -u > gau_urls.txt
cat alive.txt | waybackurls | sort -u > wayback_urls.txt
cat gau_urls.txt wayback_urls.txt | sort -u > all_urls.txt
# 6. Filtrar endpoints interessantes
cat all_urls.txt | grep -E "\.js$" > js_files.txt
cat all_urls.txt | grep -E "(admin|api|graphql|login|auth)" > interesting.txtFase 2: Análise de Aplicação (40% do tempo)
# 1. Análise de JavaScript
cat js_files.txt | xargs -I {} sh -c 'curl -s {} | grep -oE "(api|endpoint|graphql|token|key|secret)"'
# 2. Parâmetros interessantes
cat all_urls.txt | uro | grep "?" | unfurl keys | sort -u > params.txt
# 3. Fuzzing de endpoints
ffuf -u https://target.com/FUZZ -w /wordlists/common.txt -mc 200,301,302,403
# 4. Fuzzing de subdomínios
ffuf -u https://FUZZ.target.com -w /wordlists/subdomains.txt -mc 200Fase 3: Teste Manual (30% do tempo)
Nenhuma ferramenta substitui teste manual. Após recon e scanning, o hunter deve:
- Criar conta e mapear funcionalidades
- Identificar fluxos de autenticação e autorização
- Testar cada input com payloads contextuais
- Monitorar requisições no Burp Suite
- Procurar inconsistências de lógica de negócio
- Testar variações de role (admin vs user)
- Verificar comportamento em edge cases
Economia do Bug Bounty
Dados de mercado (2024-2026)
HackerOne Top 100 hunters:
→ Média de $100.000+/ano
→ Top 10: $500.000+/ano
Bugcrowd Top hunters:
→ Média de $50.000+/ano
→ Top 10: $200.000+/ano
Iniciante (primeiro ano):
→ $500 — $5.000 (learning curve)
Intermediário (1-2 anos):
→ $5.000 — $30.000
Avançado (2+ anos):
→ $30.000 — $200.000+Tempo médio por vulnerabilidade
| Tipo | Tempo médio de descoberta |
|---|---|
| XSS (reflected) | 2 — 8 horas |
| IDOR | 4 — 16 horas |
| SSRF | 8 — 40 horas |
| RCE | 20 — 100+ horas |
| Business logic | 10 — 50 horas |
Recursos
Fundamentos de Segurança da Informação
Tríade CIA, threat landscape moderna, attack surface, frameworks de segurança e modelos de maturidade — a base teórica para offensive e defensive security.
Reconnaissance: a arte de encontrar alvos
OSINT, enumeração de subdomínios, port scanning, fingerprinting e content discovery — a fase que define 70% do sucesso em bug bounty.