A bug bounty program, also called a vulnerability rewards program (VRP), is a crowdsourcing initiative that rewards individuals for discovering and reporting software bugs. Bug bounty programs are often initiated to supplement internal code audits and penetration tests as part of an organization's vulnerability management strategy.
Many software vendors and websites run bug bounty programs, paying out cash rewards to software security researchers and white hat hackers who report software vulnerabilities that have the potential to be exploited. Bug reports must document enough information for for the organization offering the bounty to be able to reproduce the vulnerability. Typically, payment amounts are commensurate with the size of the organization, the difficulty in hacking the system and how much impact on users a bug might have.
Mozilla paid out a $3,000 flat rate bounty for bugs that fit its criteria, while Facebook has given out as much as $20,000 for a single bug report. Google paid Chrome operating system bug reporters a combined $700,000 in 2012 and Microsoft paid UK researcher James Forshaw $100,000 for an attack vulnerability in Windows 8.1. In 2016, Apple announced rewards that max out at $200,000 for a flaw in the iOS secure boot firmware components and up to $50,000 for execution of arbitrary code with kernel privileges or unauthorized iCloud access.
While the use of ethical hackers to find bugs can be very effective, such programs can also be controversial. To limit potential risk, some organizations are offering closed bug bounty programs that require an invitation. Apple, for example, has limited bug bounty participation to few dozen researchers.
"Ettercap is a suite for man in the middle attacks on LAN. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. It supports active and passive dissection of many protocols (even ciphered ones) and includes many feature for network and host analysis." read more...
About BruteSpray: BruteSpray takes nmap GNMAP/XML output or newline seperated JSONS and automatically brute-forces services with default credentials using Medusa. BruteSpray can even find non-standard ports by using the -sV inside Nmap.
BruteSpay's Installation
With Debian users, the only thing you need to do is this command: sudo apt install brutespray
For Arch Linux user, you must install Medusa first: sudo pacman -S medusa And then, enter these commands to install BruteSpray: Supported Services: ssh, ftp, telnet, vnc, mssql, mysql, postgresql, rsh, imap, nntpp, canywhere, pop3, rexec, rlogin, smbnt, smtp, svn, vmauthdv, snmp. How to use BruteSpray?
First do an Nmap scan with -oG nmap.gnmap or -oX nmap.xml. Command: python3 brutespray.py -h Command: python3 brutespray.py --file nmap.gnmap Command: python3 brutesrpay.py --file nmap.xml Command: python3 brutespray.py --file nmap.xml -i You can watch more details here:
Examples
Using Custom Wordlists: python3 brutespray.py --file nmap.gnmap -U /usr/share/wordlist/user.txt -P /usr/share/wordlist/pass.txt --threads 5 --hosts 5 Brute-Forcing Specific Services: python3 brutespray.py --file nmap.gnmap --service ftp,ssh,telnet --threads 5 --hosts 5 Specific Credentials: python3 brutespray.py --file nmap.gnmap -u admin -p password --threads 5 --hosts 5 Continue After Success: python3 brutespray.py --file nmap.gnmap --threads 5 --hosts 5 -c Use Nmap XML Output: python3 brutespray.py --file nmap.xml --threads 5 --hosts 5 Use JSON Output: python3 brutespray.py --file out.json --threads 5 --hosts 5 Interactive Mode:python3 brutespray.py --file nmap.xml -i Data Specs {"host":"127.0.0.1","port":"3306","service":"mysql"} {"host":"127.0.0.10","port":"3306","service":"mysql"} ... Changelog:Changelog notes are available at CHANGELOG.md.
En esta segunda parte de la serie "Raspberry Pi Zero para "Makers": 6 PoCs & Hacks Just for Fun" os vamos a proponer dos proyectos para tener en casa. El primero de ellos un proyectos para poder visualizar vídeos, películas o presentaciones en cualquier pared o pantalla de proyección que tengáis en casa, y el segundo una alarma de seguridad.
Figura 12: Raspberry Pi Zero para "Makers": 6 PoCs & Hacks Just for Fun (2 de 3)
Como veréis no son complicados ni caros, pero hay que tener algo de espíritu "Maker", así que prepara las herramientas y elige tu proyecto. Vamos con estos dos de hoy. Pero recuerda que en la primera parte tienes:
Puede que no esté a la altura de los "picoproyectores" de alta gama ya que su máxima resolución es de 854x480 pero aun así debido a su bajo precio - aproximadamente 90 € - resulta una alternativa ideal para cualquier usuario promedio. Su funcionamiento es bastante sencillo, se emite un haz de luz utilizando un DiodoLED, este haz atraviesa unos filtros hasta llegar a un DMD (Digital Mirror Device) que es el encargado de proyectar la imagen en la pared, pantalla o superficie que queramos utilizar.
Su mayor ventaja a parte de su portabilidad es su bajo consumo de energía lo que permite alimentarlo con una batería portátil. Para realizar el montaje son necesarios los siguientes componentes:
+Un cable de puente para alimentar a 5v la placa DMD
A la hora de realizar el montaje la única dificultad se encuentra en saber soldar utilizando estaño, en la página web de MickMake podéis encontrar un tutorial con distintos métodos para montar el picoproyector ya que podremos elegir si queremos colocar nuestra Raspberry Pi Zero encima o debajo de la placa DMD.
Una vez tengamos nuestro montaje hecho el siguiente paso es configurar la Raspberry Pi Zero para que funcione como un proyector para ello solo tendréis que iniciar la Raspberry Pi Zero y editar dos archivos con el código que encontrareis en la página anteriormente mencionada.
Figura 17: Cómo montar un PiProjector
Hecho esto solo falta alimentar nuestro proyector, para ello tenemos dos opciones, la primera de ellas es utilizar el puerto de corriente de la placa DMD o utilizar una batería portátil y alimentarlo directamente a través del puerto MicroUSB de la Raspberry Pi Zero. En cuanto a el audio es importante saber que no contamos con un jack de 3.5 así que habrá que buscar otras alternativas cómo utilizar un módulo Bluetooth.
4.- Alarma doméstica
El segundo de los proyectos de los que os hablaremos hoy es la construcción de vuestro propio sistema de alarma doméstica a medida usando un proyecto basado en Raspberry Pi Zero, y podrás implementar una pantalla para controlar el sistema, además de numerosos sensores, incluso una cámara de vigilancia o altavoces para hacer sonar la alarma.
Es posible que la inversión inicial supere las primeras cuotas de algunos de estos servicios, sin embargo una vez que tengamos todo montado y funcionando no tendremos que preocuparnos de pagar una mensualidad. A continuación os explicaremos cómo montar la versión más básica de este proyecto, con un precio inferior a los 100 euros y que contara con una pantalla táctil y un sensor de movimiento. Lo primero será reunir los materiales necesarios, en este caso son los siguientes:
En este caso el montaje es de lo más sencillo solo tenemos que utilizar los conectores para pantalla de la Raspberry Pi Zero, es recomendable utilizar un "extensor" para poder manipular la Raspberry Pi Zero sin problemas en un futuro. En cuanto al sensor solo habrá que alimentarlo utilizando algunos de los pines que no hayamos utilizado en la parte trasera de la pantalla, tendremos que localizar uno que esté a 5 voltios, uno con toma a tierra y uno de salida de la GPIO que este libre (por ejemplo el pin 23).
En cuanto al software utilizaremos la aplicación Home Assistant, esta appOpen Source y es posiblemente una de las mejores opciones para la creación de un hogar con domótica por ti mismo ya que permite la implementación de gran variedad de sensores y dispositivos con los que activar nuestra alarma y enviarnos una notificación a nuestro móvil.
Figura 19: Guía de iniciación a Home Assistant
Otra gran ventaja es que si no incluimos ningún zumbador o sirena nuestra alarma funcionará como una alarma silenciosa sin alertar a los intrusos y nos permitirá avisar rápidamente a la policía. Si por otro lado buscas un efecto más disuasorio solo tienes que conectar un zumbador. El único inconveniente que tiene la opción de recibir las notificaciones en nuestro dispositivo es que la única forma de armar o desarmar la alarma es a través del interfaz web.
Cuando nació este proyecto no existía ninguna API que nos permitiese utilizar los comandos de armado y desarmado de forma manual y enviase una alerta con cualquier cambio de estado. Por eso mismo Colin O´Dell, la mente detrás de este interesante proyecto, desarrolló su propia API basada en MQTT que es capaz de funcionar como una alarma convencional y nos permitirá comunicarnos de manera bidireccional con nuestra alarma utilizando un teclado remoto, solo será necesario tener acceso a Internet.
En la página web del proyecto, Colin explica detalladamente como realizar todo el proceso de instalación y configuración del software en la Raspberry Pi Zero, además podréis encontrar todo el software necesario en su página de GitHub. En cuanto a la alimentación es posible alimentar el sistema con una batería portátil, sin embargo es recomendable conectar nuestra alarma a la red eléctrica, para ello debemos utilizar un transformador como el que utilizamos para cargar nuestros smartphones .
Figura 21: Demo de Pi Alarm
Para terminar con el montaje necesitaremos una carcasa para proteger nuestro montaje, al igual que en algunos de los proyectos que os hemos expuesto previamente la impresión 3D nos ofrece una solución sencilla y económica para esta cuestión, pero si no dispones de una impresora 3D también podrás diseñar y crear tu carcasa utilizando cualquier tipo de material como madera o placas de aluminio o materiales acrílicos.
The OWASP Foundation has been chosen to be 1 of 50 Open Source Organizations to participate in the inaugural year of the Google Season of Docs program. The goal of Season of Docs is to provide a framework for technical writers and open source projects to work together towards the common goal of improving an open source project's documentation. For technical writers who are new to open source, the program provides an opportunity to gain experience in contributing to open source projects. For technical writers who're already working in open source, the program provides a potentially new way of working together. Season of Docs also gives open source projects an opportunity to engage more of the technical writing community. We would like to thank the OWASP members that donate their time and knowledge as administrators and mentors. It would not be possible if not for these individuals:
In the original Legend of Zelda the Map and Compass are indispensable for surviving dungeons and reaching the boss. The map shows you the layout of the dungeon and the compass positions you in it.
In the pilgrimage of the Christian life, I think the map would be the teachings of Our Blessed Lord and saviour, preserved in the Sacred Scripture and Sacred Tradition of the Catholic Church that He founded- this constitutes the way to Eternal Life.
The compass I think would be the interior life, the daily life of prayer composed of mental prayer, examination of conscience and perhaps above all, the sacrament of confession. Through these powerful means we can discern where we are headed, how we stand with regards to that map, whether we are near the end of the dungeon, close to completing it, or perhaps down a dead end.
How tragic for the worldlings and for the followers of false religions, they have neither map nor compass- where will they end up? They can send Link a thousand times round the dungeon but without map or compass they have little chance of coming out alive.
Praise be Our God and Saviour Jesus Christ for providing us with the Map and Compass in His One True Church.
