Добро пожаловать обратно, мои начинающие охотники за головами!
В последние годы охота за ошибками стала прибыльной и законной профессией для хакеров! В этой серии мы познакомим вас с этим жанром и научим находить ошибки и получать за них солидные вознаграждения!
Прежде чем углубляться в технические подробности поиска ошибок, давайте уделим несколько минут тому, чтобы представить эти программы тем из вас, кто только начинает заниматься охотой за ошибками.
Что такое «охота за ошибками»?
Программы «охоты за ошибками» (bug bounty hunter) — это программы, используемые компаниями-разработчиками программного обеспечения и владельцами веб-сайтов для привлечения хакеров, которые находят уязвимости (баги) в своих системах раньше, чем это сделают злоумышленники. До появления программ «охоты за ошибками» хакерам предоставлялся выбор: продавать уязвимости злоумышленникам или сообщать о них разработчикам программного обеспечения, которые часто высмеивали и клеймили их. Эти разработчики часто считали хакеров врагами. В результате эти компании постоянно сталкивались с атаками на программное обеспечение, что обходилось им и их клиентам в миллионы долларов. Какой-то гениальный человек решил использовать всех этих умных хакеров, чтобы сделать свое программное обеспечение более безопасным, и так появились программы «охоты за ошибками»!
Охотники за ошибками — это те, кто пытается взломать программное обеспечение. В случае успеха они сообщают об ошибке в компанию и получают вознаграждение (денежную выплату). Некоторые часто сравнивают программы вознаграждения за обнаружение ошибок с внешним аудитом своего программного обеспечения миллионами глаз.
Охотники за головами могут обладать широким спектром навыков или специализироваться в определенной области, например, в разработке мобильных приложений (мало кто обладает навыками, позволяющими успешно тестировать всё). Когда охотник за головами находит ошибку, он предоставляет отчёт об уязвимости компании-владельцу программного обеспечения, чтобы та могла исправить её и повысить безопасность своего ПО. Если отчёт принимается, компания выплачивает вознаграждение. Размер вознаграждения пропорционален серьёзности обнаруженной уязвимости. Обычно вознаграждение составляет от нескольких сотен до ста тысяч долларов. Мой коллега по издательству No Starch Press Джеймс Форшоу получил от Microsoft 100 000 долларов за обнаружение ошибки в Windows 8.1. В некоторых редких случаях охотники за головами зарабатывали более 1 миллиона долларов.
обнаружение множества ошибок, таких как у аргентинского хакера Сантьяго Лопеса, показанного ниже.
Платформы вознаграждений за обнаруженные ошибки
Когда эти программы вознаграждения за обнаружение ошибок (bug bounty) только начинали появляться, зачастую было сложно найти нужного человека или отдел, с которым можно было связаться, чтобы сообщить об ошибке. Кроме того, охотник за ошибками рисковал подвергнуться остракизму и судебному преследованию со стороны компании-разработчика ПО, если обнаруживал уязвимость. В результате были разработаны платформы вознаграждения за обнаружение ошибок (bug bounty), которые управляли программами вознаграждения для разработчиков ПО. Эти платформы управляют отчётами, коммуникацией и выплатой вознаграждений разработчикам ПО, обеспечивая бесперебойную работу программ как для охотников за ошибками, так и для разработчиков.
Сегодня существует множество платформ по вознаграждению за обнаружение ошибок, но самыми крупными являются:
Методология вознаграждения за найденные ошибки
Не существует единого метода поиска ошибок в программном обеспечении или системе. Каждый разрабатывает свою собственную систему, или она может различаться в зависимости от вашей специализации.
1. Проанализируйте область применения
Крайне важно понимать область действия программы. В ней подробно описывается, какие активы будут протестированы. Убедитесь, что вы не выходите за рамки, иначе рискуете потратить время на область, которая не принесёт вам дохода.
2. Ищите подходящие цели
Разработчики программного обеспечения часто не охватывают всю инфраструктуру в рамках своей задачи. Возможно, они ищут уязвимости в конкретных доменах, модулях или приложениях. Найдите подходящие цели в этой области и не тратьте время впустую.
3. Высокоуровневое тестирование
Используйте сканер уязвимостей для поиска уязвимостей и недостатков. Помните, что сканеры уязвимостей просто проверяют уже известные уязвимости, поэтому вряд ли найдут новые. В то же время, если сканер уязвимостей, например, обнаружит множество уязвимостей SSRF, вероятно, их будет больше.
4. Просмотр заявок
Ознакомьтесь с заявками, участвующими в программе вознаграждения за обнаружение уязвимостей, и выберите ту, которая соответствует вашим навыкам. Если вы эксперт по SSRF, сосредоточьте усилия на приложениях, в которых, скорее всего, есть уязвимости SSRF.
5. Фазинг
Как вы знаете, фаззинг — это процесс отправки псевдослучайных входных данных в приложение и анализа результатов. Процесс фаззинга выявляет недостатки, которые могут привести к уязвимостям. Подробнее о фаззинге см. в статьях « Фаззинг с помощью Spike» и «Фаззинг веб-приложений с помощью Burpsuite» .
6. Используйте уязвимости
Фаззинг ломает приложение и выявляет уязвимости в коде. Следующий шаг — разработка доказательства концепции (POC), эксплуатирующего уязвимость. Убедительное доказательство концепции и его объяснение, вероятно, принесут значительную награду.
Краткое содержание
Программы вознаграждения за обнаружение уязвимостей — отличный способ для хакеров легально зарабатывать, не сталкиваясь с проблемами с правоохранительными органами и не рискуя быть поданным в суд со стороны компании-разработчика программного обеспечения. Разработчики программного обеспечения платят вам, охотнику за ошибками, за поиск уязвимостей в их коде. Успешные охотники за ошибками могут обеспечить себе весьма комфортную
жизнь, если понимают, как работают эти программы и как находить ошибки.
В последние годы охота за ошибками стала прибыльной и законной профессией для хакеров! В этой серии мы познакомим вас с этим жанром и научим находить ошибки и получать за них солидные вознаграждения!
Прежде чем углубляться в технические подробности поиска ошибок, давайте уделим несколько минут тому, чтобы представить эти программы тем из вас, кто только начинает заниматься охотой за ошибками.
Что такое «охота за ошибками»?
Программы «охоты за ошибками» (bug bounty hunter) — это программы, используемые компаниями-разработчиками программного обеспечения и владельцами веб-сайтов для привлечения хакеров, которые находят уязвимости (баги) в своих системах раньше, чем это сделают злоумышленники. До появления программ «охоты за ошибками» хакерам предоставлялся выбор: продавать уязвимости злоумышленникам или сообщать о них разработчикам программного обеспечения, которые часто высмеивали и клеймили их. Эти разработчики часто считали хакеров врагами. В результате эти компании постоянно сталкивались с атаками на программное обеспечение, что обходилось им и их клиентам в миллионы долларов. Какой-то гениальный человек решил использовать всех этих умных хакеров, чтобы сделать свое программное обеспечение более безопасным, и так появились программы «охоты за ошибками»!
Охотники за ошибками — это те, кто пытается взломать программное обеспечение. В случае успеха они сообщают об ошибке в компанию и получают вознаграждение (денежную выплату). Некоторые часто сравнивают программы вознаграждения за обнаружение ошибок с внешним аудитом своего программного обеспечения миллионами глаз.
Охотники за головами могут обладать широким спектром навыков или специализироваться в определенной области, например, в разработке мобильных приложений (мало кто обладает навыками, позволяющими успешно тестировать всё). Когда охотник за головами находит ошибку, он предоставляет отчёт об уязвимости компании-владельцу программного обеспечения, чтобы та могла исправить её и повысить безопасность своего ПО. Если отчёт принимается, компания выплачивает вознаграждение. Размер вознаграждения пропорционален серьёзности обнаруженной уязвимости. Обычно вознаграждение составляет от нескольких сотен до ста тысяч долларов. Мой коллега по издательству No Starch Press Джеймс Форшоу получил от Microsoft 100 000 долларов за обнаружение ошибки в Windows 8.1. В некоторых редких случаях охотники за головами зарабатывали более 1 миллиона долларов.
обнаружение множества ошибок, таких как у аргентинского хакера Сантьяго Лопеса, показанного ниже.
Платформы вознаграждений за обнаруженные ошибки
Когда эти программы вознаграждения за обнаружение ошибок (bug bounty) только начинали появляться, зачастую было сложно найти нужного человека или отдел, с которым можно было связаться, чтобы сообщить об ошибке. Кроме того, охотник за ошибками рисковал подвергнуться остракизму и судебному преследованию со стороны компании-разработчика ПО, если обнаруживал уязвимость. В результате были разработаны платформы вознаграждения за обнаружение ошибок (bug bounty), которые управляли программами вознаграждения для разработчиков ПО. Эти платформы управляют отчётами, коммуникацией и выплатой вознаграждений разработчикам ПО, обеспечивая бесперебойную работу программ как для охотников за ошибками, так и для разработчиков.
Сегодня существует множество платформ по вознаграждению за обнаружение ошибок, но самыми крупными являются:
Методология вознаграждения за найденные ошибки
Не существует единого метода поиска ошибок в программном обеспечении или системе. Каждый разрабатывает свою собственную систему, или она может различаться в зависимости от вашей специализации.
- Проанализируйте область применения
- Ищите подходящие цели
- Высокоуровневое тестирование обнаруженной цели
- Просмотреть все заявки
- Фаззинг
- Использовать уязвимости
1. Проанализируйте область применения
Крайне важно понимать область действия программы. В ней подробно описывается, какие активы будут протестированы. Убедитесь, что вы не выходите за рамки, иначе рискуете потратить время на область, которая не принесёт вам дохода.
2. Ищите подходящие цели
Разработчики программного обеспечения часто не охватывают всю инфраструктуру в рамках своей задачи. Возможно, они ищут уязвимости в конкретных доменах, модулях или приложениях. Найдите подходящие цели в этой области и не тратьте время впустую.
3. Высокоуровневое тестирование
Используйте сканер уязвимостей для поиска уязвимостей и недостатков. Помните, что сканеры уязвимостей просто проверяют уже известные уязвимости, поэтому вряд ли найдут новые. В то же время, если сканер уязвимостей, например, обнаружит множество уязвимостей SSRF, вероятно, их будет больше.
4. Просмотр заявок
Ознакомьтесь с заявками, участвующими в программе вознаграждения за обнаружение уязвимостей, и выберите ту, которая соответствует вашим навыкам. Если вы эксперт по SSRF, сосредоточьте усилия на приложениях, в которых, скорее всего, есть уязвимости SSRF.
5. Фазинг
Как вы знаете, фаззинг — это процесс отправки псевдослучайных входных данных в приложение и анализа результатов. Процесс фаззинга выявляет недостатки, которые могут привести к уязвимостям. Подробнее о фаззинге см. в статьях « Фаззинг с помощью Spike» и «Фаззинг веб-приложений с помощью Burpsuite» .
6. Используйте уязвимости
Фаззинг ломает приложение и выявляет уязвимости в коде. Следующий шаг — разработка доказательства концепции (POC), эксплуатирующего уязвимость. Убедительное доказательство концепции и его объяснение, вероятно, принесут значительную награду.
Краткое содержание
Программы вознаграждения за обнаружение уязвимостей — отличный способ для хакеров легально зарабатывать, не сталкиваясь с проблемами с правоохранительными органами и не рискуя быть поданным в суд со стороны компании-разработчика программного обеспечения. Разработчики программного обеспечения платят вам, охотнику за ошибками, за поиск уязвимостей в их коде. Успешные охотники за ошибками могут обеспечить себе весьма комфортную
жизнь, если понимают, как работают эти программы и как находить ошибки.
