Guia Completo de Bug Bounty: Índice da Série (do Básico ao Avançado)
O mapa da série inteira — fundamentos (web, recon, severidade, report) e um post por classe de vulnerabilidade (IDOR, XSS, SQLi, SSRF, RCE, ATO e mais), com uma trilha de estudo sugerida.
Sobre esta série
Esta é uma série de estudo de bug bounty / segurança ofensiva web, escrita do básico ao avançado pra qualquer pessoa acompanhar — de quem nunca interceptou uma request até quem já caça faz tempo. Cada post é autossuficiente (explica o que precisa), traz teoria + como funciona por trás + exploração passo a passo + caso prático + defesa em camadas + checklist, e tudo é prática autorizada (labs e programas com permissão).
Os exemplos são fictícios-realistas e anonimizados — baseados em padrões de falhas reais, sem expor alvos, empresas ou dados de ninguém.
📥 Baixe o guia completo em PDF — os 26 capítulos num arquivo só (388 páginas), com a identidade do Acervo de TI, pra ler offline.
Como usar (trilha sugerida)
- Comece pelos Fundamentos (
00→03), na ordem. É o alicerce que os outros posts assumem (HTTP, Burp, recon, como medir impacto e como reportar). - Depois, ataque as vulnerabilidades (
10em diante). Pode ler na ordem que quiser, mas a numeração já vai do mais comum/fundamental pro mais avançado. - Pratique cada uma nos labs indicados (PortSwigger Academy, DVWA, TryHackMe, HackingClub) antes de tocar em qualquer programa real.
🧱 Fundamentos
| # | Post | O que você aprende |
|---|---|---|
| 00 | Fundamentos de Web Hacking & Bug Bounty | A área, pilares da SI (CIA), como a web funciona, HTTP, autn × autz, OWASP Top 10, Burp do zero (incl. FoxyProxy + certificado), mindset |
| 01 | Recon & Discovery | Recon passivo/ativo: subdomínios, httpx, gau, análise de JS, fuzzing (ffuf/katana), dorks, achar programas |
| 02 | Severidade, Impacto e Triagem | CVSS 3.1/4.0 passo a passo, CWE, VRT da Bugcrowd, como argumentar impacto |
| 03 | Como Escrever um Report que Paga | Estrutura que não gera questionamento + como defender o bounty na triagem |
🎯 Vulnerabilidades (do básico ao avançado)
| # | Post | Classe |
|---|---|---|
| 10 | Broken Access Control: IDOR, BOLA e BFLA | A falha que mais paga: acesso indevido a objeto/função |
| 11 | Security Misconfiguration & Caça a CVEs/1-day | Config inseguro, .git/backup/debug, fingerprint → CVE → PoC |
| 12 | Account Takeover (ATO) | Reset/refresh, JWT (alg=none, weak secret, confusion), OAuth, 2FA |
| 13 | XSS e HTML Injection | Reflected/Stored/DOM, contexto, bypass de WAF, CSP |
| 14 | SQL Injection | UNION, blind, sqlmap, NoSQLi, queries parametrizadas |
| 15 | RCE: Command Injection, SSTI e Upload | Caminhos pra shell: comando no SO, template injection, upload |
| 16 | SSRF | Servidor como proxy: rede interna, cloud metadata, chaining → RCE |
| 17 | LFI e Path Traversal | ../, wrappers PHP, log poisoning → RCE |
| 18 | CRLF Injection & HTTP Request Smuggling | Quebrar o parsing do HTTP: %0d%0a, desync CL.TE/TE.CL |
| 19 | Open Redirect | O trampolim: chaining pra OAuth token theft, SSRF, phishing |
| 20 | Business Logic Flaws | Quando a regra de negócio é o bug (preço, workflow, replay) |
| 21 | Race Conditions | A janela TOCTOU: limit-overrun e single-packet attack |
| 22 | Denial of Service (aplicação) | ReDoS, zip bomb, GraphQL — com PoC responsável |
| 23 | Subdomain Takeover & Broken Link Hijacking | Herdar DNS/recursos abandonados (S3, Pages, Heroku) |
| 24 | Bug Bounty em Mobile (Android/iOS) | Interceptar o app, bypass de SSL pinning, decompilar APK e testar a API por trás |
| 25 | Segurança de APIs (OWASP API Top 10) | BOLA/BFLA, mass assignment, excessive data exposure, GraphQL |
| 28 | XXE (XML External Entity) | Abusar do parser de XML: ler arquivos, SSRF e exfiltração OOB |
| 29 | Insecure Deserialization | De objeto serializado a RCE via gadget chains (PHP/Java/Python) |
| 30 | Prototype Pollution | Envenenar o Object do JS → DOM XSS, bypass de auth, RCE no Node |
| 31 | Cloud & AWS Misconfiguration | S3 público, chaves vazadas, IMDS via SSRF, takeover de recurso cloud |
🧠 Avançado e fechamento
| # | Post | O que você aprende |
|---|---|---|
| 26 | Chaining de Vulnerabilidades | Encadear falhas “pequenas” em algo crítico: Open Redirect→OAuth, SSRF→RCE, XSS→ATO |
| 27 | Anatomia de uma Caçada: do Recon ao Report | Walkthrough end-to-end que costura a série inteira numa caçada (fictícia) real |
Conectando tudo
- Os pilares CIA (Fundamentos) dizem qual propriedade a falha quebra; a Severidade & Impacto transforma isso em bounty; o Report que paga ensina a comunicar. Os capítulos
10–25e28–31são o como achar e explorar cada classe — do Broken Access Control ao Cloud & AWS. - E os capítulos
26(Chaining) e27(Anatomia de uma Caçada) fecham a série: boa parte das classes se combina — Open Redirect → roubo de token (OAuth), SSRF → RCE / credenciais de cloud, XSS → Account Takeover, IDOR + Business Logic → fraude. Depois de dominar cada classe, o pulo do gato é encadear.
Nota ética
Tudo aqui é pra estudo e testes autorizados — labs e programas de bug bounty/pentest com permissão. Testar sistemas de terceiros sem autorização é crime (no Brasil, art. 154-A do CP), além de desnecessário: existe lab de sobra pra treinar à vontade. Use pra proteger, reportar com responsabilidade e ensinar.
Bons bugs! 🐛 — matheuslaidler.github.io