Interesante duda, la tuya, podria decirse que es muy facil de responder.
1.- Identifica tu nivel de habilidades con las cuales puedas realizar la caza de bugs, en este punto debes de dejar de ser alguien que "apenas esta aprendiendo" sino mínimo tener de 3 a 5 años de experiencia. Esta experiencia debe cubrir: Creación de reportes, saber mínimo un 50% de ingles, conocimientos medios/avanzados de programación, de seguridad y explotación de vulnerabilidades. HackerOne es muy competitivo, debes tener en cuenta que hay personas que a eso se dedican 24/7.
2.- Debes de leer muy bien, cuales son las "reglas" de las empresas a la hora de buscar fallos, esto debido a que no aceptan todas las vulnerabilidades, algunas por ejemplo, solo aceptan vulnerabilidades XSS o SQL INJECTION. Aparte de conocer, bien la vulnerabilidades y sus trucos para explotarla, debes tener en cuenta que puede que mantengas un contacto con el equipo técnico de la empresa, hasta lograr solucionar la vulnerabilidad, no solo es reportar.
3.- Tienes que ser rápido, al igual que tu hay cientos de personas, tanto por parte de HackerOne como por fuera intentado explotar el mismo fallo, solo los mas rápidos y talentosos lo lograran.
4.- En cuanto al momento de buscar los bugs, debes de tener claro una metodología que te sea de utilidad, por ejemplo, comiza por la parte de reconocimiento, recopilaron de información, etc. En cuanto a pruebas de penetración en aplicaciones web, yo recomiendo seguir la de OWASP, ya con el tiempo y la experiencia puede que tu hagas la tuya. En dado caso que el programa solo de pagos por X tipo de vulnerabilidad, pues ni como ayudarte más. Deberás tener las nociones de donde poder encontrar ese fallo, por ejemplo un XSS se puede encontrar en la sección de "Buscar", comenzar por ahí, de esta forma sucesiva.
5.- Si estas comenzado, te recomiendo busques otros programas más tranquilos, como OpenBugBounty.
1.- Identifica tu nivel de habilidades con las cuales puedas realizar la caza de bugs, en este punto debes de dejar de ser alguien que "apenas esta aprendiendo" sino mínimo tener de 3 a 5 años de experiencia. Esta experiencia debe cubrir: Creación de reportes, saber mínimo un 50% de ingles, conocimientos medios/avanzados de programación, de seguridad y explotación de vulnerabilidades. HackerOne es muy competitivo, debes tener en cuenta que hay personas que a eso se dedican 24/7.
2.- Debes de leer muy bien, cuales son las "reglas" de las empresas a la hora de buscar fallos, esto debido a que no aceptan todas las vulnerabilidades, algunas por ejemplo, solo aceptan vulnerabilidades XSS o SQL INJECTION. Aparte de conocer, bien la vulnerabilidades y sus trucos para explotarla, debes tener en cuenta que puede que mantengas un contacto con el equipo técnico de la empresa, hasta lograr solucionar la vulnerabilidad, no solo es reportar.
3.- Tienes que ser rápido, al igual que tu hay cientos de personas, tanto por parte de HackerOne como por fuera intentado explotar el mismo fallo, solo los mas rápidos y talentosos lo lograran.
4.- En cuanto al momento de buscar los bugs, debes de tener claro una metodología que te sea de utilidad, por ejemplo, comiza por la parte de reconocimiento, recopilaron de información, etc. En cuanto a pruebas de penetración en aplicaciones web, yo recomiendo seguir la de OWASP, ya con el tiempo y la experiencia puede que tu hagas la tuya. En dado caso que el programa solo de pagos por X tipo de vulnerabilidad, pues ni como ayudarte más. Deberás tener las nociones de donde poder encontrar ese fallo, por ejemplo un XSS se puede encontrar en la sección de "Buscar", comenzar por ahí, de esta forma sucesiva.
5.- Si estas comenzado, te recomiendo busques otros programas más tranquilos, como OpenBugBounty.