Vai al contenuto

Prossima edizione 6 luglio 2026

Sicurezza offensiva

Bug Bounty

Un bug bounty è un programma con cui un'organizzazione invita i ricercatori di sicurezza a individuare e segnalare vulnerabilità nei propri sistemi in cambio di riconoscimento o ricompense economiche. Gli hunter testano i target in scope secondo regole definite, inviano un report con le prove e ricevono una ricompensa quando il problema viene convalidato.

Autore
parth-narula
Tempo di lettura
5 min di lettura
Ultimo aggiornamento

Un bug bounty è un modo strutturato per le organizzazioni di affidare il testing di sicurezza alla collettività. Invece di affidarsi solo ai team interni o a un singolo audit annuale, un'azienda apre i propri sistemi a una comunità globale di ricercatori di sicurezza che vengono premiati per individuare e segnalare vulnerabilità reali prima che lo facciano gli attori malevoli.

Perché È Importante

Il software viene rilasciato più velocemente di quanto qualsiasi team di sicurezza interno possa esaminarlo. Ogni nuova funzionalità, API e integrazione di terze parti amplia la superficie di attacco, e il testing tradizionale fatto in un singolo momento non riesce a tenere il passo. I programmi bug bounty colmano questo divario con un testing avversariale continuo da parte di migliaia di ricercatori con competenze e prospettive diverse.

Per le organizzazioni il valore è asimmetrico: paghi solo per segnalazioni valide e uniche e raggiungi specialisti che non potresti mai assumere a tempo pieno. Per i ricercatori, il bug bounty è uno dei modi più rapidi per costruire una reputazione pubblica, generare reddito e dimostrare competenze offensive con risultati verificabili. Molte delle vulnerabilità più comuni, come le falle di controllo degli accessi IDOR/BOLA e le vulnerabilità di business logic, premiano il ragionamento attento più dell'exploitation avanzata, il che rende il bug bounty una porta d'ingresso accessibile al settore.

Come Funziona un Bug Bounty

Ogni programma pubblica una policy. Leggerla con attenzione è l'abitudine più importante che un hunter possa sviluppare, perché definisce cosa è legale, cosa è in scope e cosa viene pagato.

Il ciclo di vita di una singola segnalazione si presenta così:

Un hunter mappa il target, individua una vulnerabilità e la documenta con chiari passaggi per riprodurla e una proof of concept. Il team di sicurezza esegue il triage del report, conferma impatto e gravità e paga una ricompensa se il problema è valido e non è un duplicato. Il motivo più comune per cui un bug reale non ottiene nulla è che un altro hunter lo ha segnalato per primo, ecco perché la strategia su target e tempistica conta tanto quanto la competenza tecnica.

Programmi a Pagamento vs. Programmi di Disclosure

Esistono due modelli generali, e scegliere quello giusto cambia drasticamente le tue probabilità da principiante.

ModelloRicompensaConcorrenzaIdeale per
Bug bounty a pagamentoDenaro, suddiviso per gravitàAlta sui programmi popolariHunter esperti, reddito
Vulnerability Disclosure Program (VDP)Riconoscimento, Hall of Fame, gadgetDi solito bassaPrincipianti che costruiscono un track record

Entrambi funzionano su piattaforme come HackerOne e Bugcrowd, oppure direttamente tramite il contatto security.txt dell'azienda stessa. I VDP sono costruiti attorno alla responsible disclosure e, poiché raramente pagano in denaro, attirano molti meno hunter, il che significa tassi di duplicati più bassi e più spazio per una prima segnalazione valida.

Classi Comuni di Vulnerabilità nel Bug Bounty

I principianti non devono padroneggiare ogni tipo di vulnerabilità. Un piccolo gruppo rappresenta la maggior parte delle segnalazioni valide:

  • IDOR / BOLA: accedere all'oggetto di un altro utente modificando un ID, la scoperta con la più alta probabilità per i principianti.
  • Falle di business logic: abusare di funzionalità legittime (manipolazione dei prezzi, bypass del workflow) per ottenere risultati non previsti.
  • Autenticazione difettosa: token deboli, link di reimpostazione password riutilizzabili, mancanza di limiti di rate sugli OTP.
  • Race condition: sfruttare il timing per riscattare o prelevare qualcosa più di una volta.
  • Information disclosure: risposte API esposte, chiavi trapelate nel JavaScript e storage configurato in modo errato.

Come Iniziare

Il successo nel bug bounty riguarda meno gli strumenti e più la scelta del target giusto e la sua comprensione approfondita. Un principiante che sceglie un programma mirato e a bassa concorrenza e si impegna su di esso per settimane otterrà risultati migliori di chi salta tra programmi enormi ogni pochi giorni. Costruisci le basi in un home lab, studia il testing di sicurezza delle API e leggi report pubblicati ogni settimana per allenare il tuo riconoscimento dei pattern.

Il bug bounty premia la pazienza e la profondità. Il primo report valido è il più difficile; una volta capito come scegliere i target e scrivere report chiari, ogni scoperta successiva arriva più velocemente, e il track record pubblico che costruisci apre porte in tutta la sicurezza offensiva.

Nel Bootcamp

Come insegniamo Bug Bounty

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Bug Bounty. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 10: Penetration Testing e Hacking Etico

Argomenti correlati che padroneggerai:MetasploitNmapBurp SuiteEscalation dei Privilegi
Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso