▶ Herramientas de recopilación HackerOne, Bugcrowd y también Intigritis Reach
Bbscope, la última herramienta de recopilación de visores de HackerOne, Bugcrowd y también Intigriti de sw33tLie. ¿Precisa atrapar todos y cada uno de los dominios de prominente desempeño que tiene en la interfaz de recompensas por fallos? Es la herramienta correcta para el trabajo.
¿Qué tal una lista de apps de Android para evaluar? Nosotros asimismo te servimos.
¿El dios de la ingeniería inversa? No se preocupe, asimismo puede conseguir una lista de binarios para escanear.
instalación
Asegúrese de que la última versión del compilador Go esté instalada en su sistema. Conque hazlo:
GO111MODULE = buscar -u github.com/sw33tLie/bbscope
emplear
bbscope (h1 | bc | it) -t
De qué forma conseguir el token de sesión:
- HackerOne: comience sesión, entonces consígalo
__Host-sessionGalletas - Bugcrowd: comienza sesión y explora
_crowdcontrol_sessionGalletas - Empiece sesión en Intigriti, intercepte la petición y busque en api.intgriti.com
Authentication: Bearer XXXTítulo. XXX es tu token
Recuerde que puede utilizar el indicio –help para conseguir una descripción de todos y cada uno de los indicadores.
Ejemplo
Ahora se detallan ciertos ejemplos de comandos. Recuerde que cualquier empleo de Bugcrowd y también Intigriti (bc sí it) Y no solo con h1.
Imprima todas y cada una de las misiones de alcance para todos y cada uno de los programas de HackerOne que dan recompensas
bbscope h1 -t
El resultado es el próximo:
aplicación.example.com
* .usuario.example.com
* .demo.com
www.etwas.com
Imprima todas y cada una de las misiones de alcance para todos y cada uno de los programas privados de HackerOne que dan recompensas
bbscope h1 -t
Imprima todos y cada uno de los APK de Android de todos y cada uno de los programas HackerOne incluidos
bbscope h1 -t
Utilice datos auxiliares para imprimir todos y cada uno de los objetivos de cobertura para todos y cada uno de los programas de HackerOne
bbscope h1 -t
Esto imprime la lista de sitios de todos y cada uno de los programas de HackerOne (incluyendo los públicos y VDP) en el alcance, pero asimismo imprime la descripción del destino (si está libre) y la dirección de Internet del programa en exactamente la misma línea. Podría verse de esta manera:
something.com, el sitio primordial de algo, https://hackerone.com/something
* .demo.com, todos y cada uno de los activos de demostración están en el alcance, https://hackerone.com/demo
Consiga la dirección de Internet del programa de su programa privado de HackerOne
bbscope h1 -t
Conseguirá una lista como esta:
https://hackerone.com/demo
https://hackerone.com/something
Preste atención al rango anormal
Idealmente, todos y cada uno de los programas emplearían la tabla de personal del mismo modo para enseñar precisamente el contenido del personal y hacer más simple el análisis. Lamentablemente, este no es siempre y en todo momento la situacion.
En ocasiones, los activos se asignan a la categoría errónea, por poner un ejemplo, al efectuar una búsqueda. -c url, Mira esmeradamente -c all Por norma general es una gran idea.
En ocasiones, en HackerOne puede conseguir el propósito en la descripción del alcance en vez del título del alcance. Ciertos programas para ello son:
Si aún quiere catalogar estas dirección de Internet, puede debo Apagar d En el banner con opciones de impresión (-o).
En ocasiones es aun mucho más extraño: Spotify emplea encabezados de tabla en la llegada para enumerar los comodines, entonces cuenta los subdominios en la llegada real en la descripción del destino.
El pensamiento humano es extraño, esta herramienta no procura investigar cosas sin ningún sentido, debes llevarlo a cabo de forma manual (¿o quizás alguien molesto va a hacer este cambio?).
