Nuevos labs cada semana — Accede a todos desde 5€/mes

>Inicio>Labs>Eventos>Creators>Ranking>Academy>Writeups>Precios
Iniciar SesiónCrear Cuenta

Scope

Informativo

Scope / Alcance del Programa

Definición

El Scope (alcance) en bug bounty define qué activos, dominios, funcionalidades y tipos de vulnerabilidades son válidos para reportar. Cada programa de bug bounty tiene un scope específico que incluye los activos 'in scope' (donde puedes buscar) y 'out of scope' (donde no). Entender y respetar el scope es fundamental para evitar reportes inválidos y posibles consecuencias legales.

Impacto

Define qué activos son válidos para investigaciónDetermina qué tipos de vulnerabilidades se aceptanProtección legal para el investigador dentro del alcance definidoPriorización de esfuerzos en activos de mayor recompensaReportes fuera de scope son rechazados y afectan la reputación

Ejemplos

Ejemplo de scope típico en un programa de bug bounty

Un programa típico define: In Scope: *.ejemplo.com (wildcard), app.ejemplo.com, api.ejemplo.com. Out of Scope: blog.ejemplo.com (WordPress gestionado por terceros), staging.ejemplo.com. Vulnerabilidades aceptadas: XSS, SSRF, SQLi, IDOR, RCE. Excluidas: Self-XSS, logout CSRF, rate limiting, falta de captcha, open ports sin impacto demostrado.

Referencias externas

HackerOne - Program Scope Best Practices

Términos relacionados

Bug Bounty

Bug Bounty / Recompensa por Vulnerabilidades

HackerOne

HackerOne

Bugcrowd

Bugcrowd

Responsible Disclosure

Responsible Disclosure / Divulgación Responsable

CVSS

Common Vulnerability Scoring System

Practica Scope con labs reales

Aplica lo que has aprendido en entornos seguros basados en reportes de bug bounty.

Ver labs de práctica