Come iniziare a trovare i bug in qualsiasi app/sito web

Partiamo dal presupposto che i bug denotino difetti tecnici. Una persona che fa questo si chiama penetration tester e il processo si chiama Pentesting. Ci sono numerosi siti di crowdsourcing disponibili che chiamano pentesters in tutto il mondo per trovare vulnerabilità nei loro siti web/app ( Esempi : 1. Crowdsourced Cybersecurity. Programmi bug bounty completamente gestiti. 2. Vulnerability Coordination and Bug Bounty Platform). Strumenti come Burp, Fiddler possono aiutare a identificare qualsiasi vulnerabilità delle web-app che ha il potenziale per essere sfruttata. Per iniziare, basta seguire i seguenti passi:

1. Leggete il progetto OWASP ( OWASP Testing Project )
2. Affrontate le tecnologie necessarie. Nel caso in cui tu preferisca trovare vulnerabilità nei siti web, assicurati di conoscere molto bene le tecnologie lato client (HTML, CSS, Javascript, Jquery ecc) e lato server (PHP, MySQL, Python ecc).
3. Partecipa agli eventi Capture the Flag ( All about CTF (Capture The Flag) ). Questi eventi sono progettati come un gioco vero e proprio, dove si attraversa ogni livello trovando le bandiere attraverso lo sfruttamento delle vulnerabilità presenti.
4. Scaricate il DVWA - Damn Vulnerable Web Application ( www.dvwa.co.uk ) per avere una sessione pratica che metta alla prova le vostre conoscenze teoriche.
5. Infine, cercate i programmi bug bounty in Vulnerability Coordination and Bug Bounty Platform e iniziate a trovare il vostro primo bug!