Доброго времени суток уважаемый %username%
В этой небольшой статье, я поделюсь с тобой своим опытом использования зарубежной bugbounty площадки hackerone.
Моё знакомство с этой площадкой началось в 2014 году. Если честно, по началу я скептически относился к тому, что компании выплачивают какие то вознаграждения за уязвимости в своих сервисах и инфраструктуре, полагал что у них хватает своих высококвалифицированных экспертов по информационной безопасности. Но после первого моего bug репорта в Mail RU и растущему количеству репортов от других исследователей, я понял что это определённо интересный вид деятельности.
Вот полный список компаний в которых мне удалось найти уязвимости среди которых IBM, Toyota, Sony, General Motors и т.д
Площадка выполняет роль посредника между компанией которая хочет проверить на прочность свою инфраструктуру и White Hat хакерами (исследователями).
Тут наверно стоит немного углубится в идеологию и рассмотреть термин White Hat или исследователь в "Белой шляпе".
Почему в белой ?) Всё просто. Белый цвет в данном случае символизирует благие намерения.
White Hat хакер не будет эксплуатировать найденные уязвимости в своих корыстных целях (и дело тут не в квалификации, а в убеждениях)
White Hat можно характеризовать как IT-волонтёра. Его деятельность направлена на созидание и оптимизацию. Он самодостаточен и не обломается, если ему ваще ничего не заплатят. Он изначально принимает тот факт, что делает он это добровольно и компания сама принимает решения награждать его или нет. Ему важно само участие в процессе исследований и возможность поделится своим опытом.
Если рассматривать термин Black Hat то тут имеет место быть противоположность, агрессивно-негативный вектор, главным образом направленный на деструктивную деятельность, сломать, отжать как можно больше финансов с примерно такой логикой "не буду писать никакие баг-репорты, лучше напишу эксплойт и продам больше заработаю"
Как бы то ни было, не будем углубляться в философию, осуждать кого то, квалифицированные специалисты есть как среди тех, так и других, их личные убеждения - это их личные убеждения, к которым их привел их жизненный опыт.
Желающие могут подискутировать на эту тему в комментариях, люди с какими убеждениями вам попадались чаще ?
А мы пожалуй вернёмся к нашим хакерванам )
В 2015 году читая открытые отчёты с SQL-injection, XSS, и атаками с расщеплением HTTP запроса, можно было сделать вывод, что безопасность многих компаний была на очень низком уровне, нежели в настоящий момент (bugbounty площадки bugcrowd и hackerone в частности, сыграли в этом свою роль и принесли свои плоды) прозрачная система отчетов помогала понять какие технологии, инструменты и практики они используют, паралельно освоить новые решения и подходы которыми пользуются другие исследователи.
В своих поисках я использовал обычные инструменты :
- Google
- nmap
- Burp suite
- какие то навыки практиковались в WebGoat
Позднее компаниям дали возможность скрывать отчёты, выбирать для участия исследователей с определёнными навыками и рейтингом. Желающих принять участие в исследованиях с каждым годом становилось всё больше и больше... (а уязвимостей становилось всё меньше и меньше)
В какой то момент я стал сравнивать баги с горстью семечек брошенных голубям )
Начиная свою исследовательскую деятельность, необходимо внимательно читать Scope (условия и области поиска)
Отчеты имеют несколько статусов, основные из них это:
Triaged - компания приняла во внимание уязвимость и начала заниматься устранением.
Duplicate - уязвимость была сообщена другими исследователями ранее.
N/A - уязвимость не попадает в условия поиска.
Исследователю в своём отчёте необходимо максимально закошмарить компанию и предоставить PoC (proof of concept) доказательство своей концепции при которой по его мнению компания будет нести финансовые или репутационные риски.
А представители компаний хладнокровно и детально изучают эти отчёты, взвешивают всё, устраняют уязвимость и принимают решение о размере награды.
Далее после заполнения электронной формы (похожую на форму налоговой декларацию) существовала возможность выбора перечисления вознаграждения на PayPal и крипто-кошелёк.
За время исследований, сумма присуждённых мне наград составила немногим более 5000$
Часть этих средств была направлена на благотворительные акции и новогодние подарки детям из малоимущих семей в нашей локации.
Так же в качестве награды мне прислали swag (мерч от компании, футболки, кепки, флэшки, диски и т.д)
Вот пример bug-репорта и "swag" вознаграждения от площадки hackerone за отчёт который крашил парсер маркдауна и вызывал "отказ в обслуживании"
Площадка HackerOne в значительной степени повлияла на моё дальнейшее мировоззрение.
Огромный объём ежедневно анализируемой информации и зацикленное стремление заработать кучу денег на уязвимостях, приводило к бессонным ночам, апатии, депрессии... а настроение стало зависеть от баланса PayPal и от статусов репортов Duplicate и N/A...
В дальнейшем я пришёл к выводу что эта бесконечная погоня за деньгами не приведёт меня ни к чему хорошему и принял решение на время прекратить исследовательскую деятельность, перестать быть инструментом в чужих руках (в конце концов не деньги же мы рождаемся зарабатывать на этой планете ;)
стал потихоньку развивать собственное сообщество, объединяющее программистов и радиолюбителей, пропагандирующее свободные решения с открытым исходным кодом.
Для тех кого интересует данный в[[ и ]]д деятельности, может попробовать свои навыки на следующих BB-площадках:
А в следующей статье я поделюсь своими впечатлениями о работе с bugbounty площадкой Яндекса.
Если вам нравится материал публикуемый на данном канале, вы можете поддержать меня чашкой кофе☕
Отдельно буду признателен и благодарен вам за лайк, репост или подписку ❤️
Всем счастья !