Plataformas e seleção de programas
Escolhendo os alvos certos para maximizar sua taxa de sucesso
O que você vai descobrir
🎯 Por que isso importa
Onde você caça importa tanto quanto como você caça. Alguns programas são superlotados, alguns pagam mal, alguns nunca respondem. Escolher o programa certo pode significar a diferença entre uma recompensa de R$250 e R$25.000 pelo mesmo esforço. Aprenda a avaliar programas estrategicamente.
🔍 O que você vai aprender
- Ler e entender escopos de programas
- Avaliar qualidade de programas (tempo de resposta, pagamentos)
- Programas públicos vs privados
- VDP vs programas de recompensa
- Encontrar alvos menos concorridos
🚀 Sua primeira vitória
Em 20 minutos, você saberá como identificar programas onde pode competir efetivamente e ser pago.
Habilidades que você vai dominar
Interpretação de escopo
Entender wildcards, exclusões e o que você pode legalmente testar
Avaliação de programas
Ler métricas para prever quais programas valem seu tempo
Targeting estratégico
Encontrar programas com menos competição e mais oportunidade
Navegação de plataformas
Usar HackerOne, Bugcrowd e Intigriti efetivamente
🔧 Tente isso agora
Avalie as estatísticas de um programa em qualquer plataforma de bug bounty:
# Em qualquer página de programa, procure essas métricas:
# TEMPO DE RESPOSTA
# Quão rápido a equipe de segurança responde aos relatórios?
# - Menos de 1 semana = Excelente (eles estão engajados)
# - 1-2 semanas = Bom (normal para maioria dos programas)
# - Mais de 1 mês = Sinal de alerta (seu relatório pode ficar sem leitura)
# - "N/A" = Ninguém está respondendo (evite este programa)
# FAIXA DE RECOMPENSA
# Quanto eles pagam por vulnerabilidades?
# - Mostra mínimo e máximo por severidade
# - Exemplo: "$100 - $5,000" significa $100 para severidade baixa,
# até $5,000 para problemas críticos
# RELATÓRIOS RESOLVIDOS
# Quantos bugs eles corrigiram?
# - Número alto = Programa ativo, paga regularmente
# - Número baixo = Ou é novo, ou não se engajam muito
# DATA DE LANÇAMENTO
# Quando o programa começou?
# - Programas novos (menos de 6 meses) = Menos competição
# - Programas antigos (3+ anos) = Bugs fáceis já encontrados
# TAMANHO DO ESCOPO
# Quanta superfície de ataque eles expõem?
# - *.target.com (wildcard) = Muitos subdomínios para testar
# - www.target.com apenas = Área de teste muito limitadaVocê verá: Essas métricas dizem se um programa vale a pena investir seu tempo.
Entendendo tipos de programas
"O melhor programa não é aquele com as maiores recompensas - é aquele onde você pode realmente encontrar bugs."
Tipos de programas explicados
Programas públicos
Abertos a qualquer pessoa com uma conta na plataforma. Você pode começar a testar imediatamente.
Prós: Sem barreira de entrada, ótimo para construir reputação, variedade de alvos
Contras: Mais competição, vulnerabilidades comuns são encontradas rapidamente
Estratégia: Comece com programas públicos. É onde você constrói seu histórico.
Programas privados
Programas apenas por convite reservados para pesquisadores com histórico comprovado.
Prós: Menos competição, frequentemente pagamentos maiores, acesso a alvos sensíveis
Contras: Requerem convite baseado em métricas de reputação
Como ser convidado: Submeta relatórios consistentes e válidos em programas públicos. As plataformas convidam automaticamente pesquisadores baseado no signal (sua proporção de relatórios aceitos vs rejeitados) e qualidade dos relatórios.
VDP (Vulnerability Disclosure Program)
Programas que aceitam relatórios de vulnerabilidade mas oferecem reconhecimento em vez de dinheiro. Pense nos VDPs como empresas dizendo "por favor nos conte sobre problemas de segurança" sem recompensa financeira.
Por que existem: Muitas empresas não podem pagar programas de recompensa mas ainda querem feedback de segurança
O que você ganha: Reconhecimento público, pontos de reputação nas plataformas, experiência
Valor estratégico: Relatórios VDP ainda contam para suas estatísticas de plataforma e convites para programas privados. São excelentes para aprender sem a pressão de competir contra caçadores experientes.
Programas auto-hospedados
Empresas rodando seus próprios programas de bug bounty fora das grandes plataformas, tipicamente em páginas /security ou /responsible-disclosure.
Prós: Frequentemente ignorados por pesquisadores, menos competição
Contras: Qualidade variável, comunicação inconsistente, sem mediação de plataforma se surgir disputa
Encontrando-os: Pesquise "[nome da empresa] security" ou verifique o rodapé para páginas de segurança
Lendo escopo corretamente
⚠️ Crítico: Testar ativos fora do escopo pode banir você das plataformas ou resultar em ação legal. Sempre verifique o escopo antes de testar.
Entendendo notação wildcard
# NO ESCOPO - Ativos que você PODE testar
*.target.com
# O asterisco (*) é um WILDCARD significando "qualquer coisa"
# Isso cobre: api.target.com, app.target.com, dev.target.com
# Basicamente qualquer subdomínio de target.com
# Isso é VALIOSO - mais subdomínios = mais superfície de ataque
app.target.com
# Subdomínio ESPECÍFICO apenas - sem wildcard
# Você pode APENAS testar app.target.com
# Não pode testar api.target.com ou qualquer outro subdomínio
*.*.target.com
# Wildcard duplo - cobre sub-subdomínios também
# Exemplo: staging.api.target.com está no escopo
Apps iOS/Android
# Aplicações móveis - teste interceptando tráfego
# Procure endpoints de API e bugs específicos de mobileFora do escopo (nunca teste)
# ATIVOS EXCLUÍDOS - Testar estes pode banir você
Serviços de terceiros
# Serviços que a empresa usa mas não possui
# Exemplo: Se usam Zendesk para suporte, não teste Zendesk
# Mesmo se acessado via support.target.com
*.staging.target.com ou *.dev.target.com
# Ambientes staging/desenvolvimento frequentemente excluídos
# Menos estáveis, podem conter dados de teste, não segurança de produção
Engenharia social
# Nunca faça phishing em funcionários, ligue para suporte para extrair info, etc.
# Isso está quase sempre fora do escopo
Ataques físicos
# Invadir escritórios, USB drops, etc.
# Requer autorização explícita para pentests físicosExclusões comuns (geralmente N/A)
# Estes são tipicamente excluídos ou marcados N/A:
Ataques DoS/DDoS
# Inundar servidores com tráfego
# Não teste disponibilidade - apenas confidencialidade/integridade
Self-XSS
# XSS que só afeta a pessoa que o insere
# Nenhuma vítima pode ser explorada sem engenharia social
Headers de segurança faltando sem impacto demonstrado
# "X-Frame-Options faltando" sozinho não é uma vulnerabilidade
# Você precisa mostrar clickjacking explorável
Clickjacking sem ação sensível
# Clickjacking em página pública não importa
# Precisa mostrar que pode enganar usuários para ações danosas
"Problemas" de rate limiting sem impacto
# "Posso fazer 100 requisições por segundo" não é um bug
# A menos que possa demonstrar bypass de bloqueio de conta, etc.Seleção estratégica de programas
Programas que maximizam seu sucesso
# PRIMEIROS PROGRAMAS IDEAIS - Procure estas características:
✓ Recentemente lançado (menos de 6 meses)
Por que: Caçadores experientes ainda não esgotaram os bugs fáceis
✓ Escopo amplo com wildcards (*.company.com)
Por que: Mais subdomínios = mais endpoints = mais oportunidade
✓ Engajamento ativo (relatórios resolvidos recentemente)
Por que: Eles realmente respondem e pagam - não abandonado
✓ Pagamentos razoáveis ($50+ para severidade baixa)
Por que: Seu tempo tem valor, mesmo bugs pequenos devem pagar
✓ Bom tempo de resposta (menos de 1 semana em média)
Por que: Feedback rápido ajuda você a aprender e melhorarProgramas para abordar depois
# GUARDE ESTES PARA DEPOIS - Não ideais para começar:
✗ Grandes empresas de tech (Google, Meta, Apple)
Por que: Milhares de caçadores experientes competindo diariamente
Resultado: Alta taxa de duplicatas, precisa expertise profunda para encontrar novos bugs
✗ Programas com mais de 3 anos
Por que: Vulnerabilidades comuns já encontradas e corrigidas
Resultado: Precisa técnicas avançadas para encontrar bugs restantes
✗ Escopo estreito (página ou funcionalidade única)
Por que: Superfície de ataque muito limitada
Resultado: Poucos bugs para encontrar, alta competição pelo que existe
✗ Programas com métricas de resposta ruins
Por que: Seus relatórios podem ficar sem revisão por meses
Resultado: Tempo desperdiçado, sem feedback para melhorarEncontrando alvos menos concorridos
# ESTRATÉGIAS PARA REDUZIR COMPETIÇÃO:
1. Programas novos
- Filtre por data de lançamento nas plataformas
- HackerOne: Ordene por "Newest"
- Entre antes da multidão
2. Atualizações de escopo
- Quando programas adicionam novos ativos, é como um lançamento novo
- Siga anúncios dos programas
- Novo app mobile adicionado? Teste primeiro
3. Indústrias não-tech
- Saúde, finanças, varejo, governo
- Menos pesquisadores de segurança miram estes
- Frequentemente têm práticas de segurança mais fracas
4. Plataformas regionais
- Intigriti (foco na Europa, pool menor de pesquisadores)
- YesWeHack (plataforma francesa, menos competição)
- Plataformas menores = menos competição
5. Empresas menores
- Programas Fortune 500 atraem milhares
- Startups Series B atraem dezenas
- A matemática favorece vocêAnálise real de programas
Exemplo de bom programa
Escopo: *.company.com, app iOS, app Android
Faixa de recompensa: $100 - $5,000
Tempo de resposta: 3 dias em média
Relatórios resolvidos: 150+ (ativo)
Lançamento: 6 meses atrás
Análise: Escopo wildcard significa muitos subdomínios para explorar. Apps mobile adicionam superfície de ataque. $100 mínimo é razoável. Resposta em 3 dias mostra equipe de segurança engajada. 150+ resolvidos significa que eles realmente pagam. Seis meses significa que não está esgotado. Vale seu tempo.
Evite este programa
Escopo: www.company.com apenas (sem wildcard)
Faixa de recompensa: Hall of Fame apenas (sem dinheiro)
Tempo de resposta: 45 dias em média
Relatórios resolvidos: 5 (inativo)
Lançamento: 3 anos atrás
Análise: Domínio único sem wildcard = superfície de ataque mínima. Sem recompensa monetária = valor de reputação apenas. Resposta em 45 dias = seus relatórios ficam no limbo. Apenas 5 resolvidos em 3 anos = efetivamente abandonado. Passe para alvos melhores.
Perguntas frequentes
Devo focar em um programa ou vários?
Comece com 2-3 programas e aprenda suas aplicações profundamente. Testar superficialmente 50 programas é menos efetivo que testar minuciosamente alguns. Quando você conhece bem um alvo - sua stack tecnológica, seus padrões, seus edge cases - você encontra bugs que caçadores casuais perdem. Profundidade vence amplitude.
Como ser convidado para programas privados?
Construa reputação em programas públicos através de relatórios válidos consistentes. As plataformas rastreiam seu "signal" - sua proporção de relatórios aceitos para total de submissões. Signal alto (significando que a maioria dos seus relatórios são válidos, não duplicatas ou N/A) mais boa qualidade de relatório dispara convites automáticos. Não há atalho - demonstre competência através do seu trabalho.
VDPs valem o tempo?
Absolutamente - são terrenos de aprendizado valiosos. VDPs são tipicamente menos competitivos e excelentes para construir habilidades e reputação na plataforma. Seus relatórios VDP válidos ainda contam para suas estatísticas e convites para programas privados. Balance seu tempo entre VDPs (aprendizado, reputação) e programas pagos (renda). Não são mutuamente exclusivos.
Qual a diferença entre HackerOne, Bugcrowd e Intigriti?
HackerOne: Maior plataforma, mais programas, mais competição. Boa variedade mas lotada.
Bugcrowd: Segunda maior, forte foco enterprise, bom acesso a programas privados.
Intigriti: Foco na Europa, pool menor de pesquisadores significa menos competição, lista de programas crescente.
Crie contas nas três - diferentes programas em diferentes plataformas.
🎯 Você pode escolher programas estrategicamente!
Você agora sabe como avaliar programas, ler escopo corretamente e identificar alvos onde pode realmente ter sucesso. Seleção estratégica de programas é metade da batalha - a outra metade é testing consistente e de qualidade.
Pronto para configurar seu ambiente de hacking