この記事では、Bug Bountyプログラム、その長所と短所、そしてそれでお金を稼ぐ方法についてお話します。
まず、Bug Bountyとは何かを定義しましょう。それは、会社のサービスとアプリケーションのセキュリティの問題を検出するための報酬支払いプログラムです。 ロシア語では、これは「間違い探し」として最も適切に翻訳されています。
すなわち これは、会社の情報リソースとの「相互作用」に関する一連のルールです。 通常、プログラムのルール、リソースのリスト、受け入れられている脆弱性の説明、および報酬の量が含まれます。 クラシックバージョンでは、これは、「ハンティング」できるものと、バグハンターが1つまたは別の脆弱性に対してどれだけ受け取ることができるかの説明です。
これがBug Bountyの外観です。 これは会社に何をもたらしますか? まず、「強度テスト」の継続的なプロセス:ノンストップモードでさまざまなレベルの知識、ツール、タイムゾーンを持つ専門家が会社のリソースを攻撃します。 同社は次のリソースに関与しています。
- システム監視;
- レポートの応答と処理。
- バグ修正(高速かどうか)。
バグバウンティの長所と短所
次に、Bug Bountyプログラムの長所と短所に注目しましょう。
明らかなプラスは次のとおりです。
- テストプロセスの継続;
- 費用(報酬の支払いは、雇用された専門家の費用よりも少なくなります);
- すばらしい報道。
明らかな欠点は次のとおりです。
- 多数のテイク。
- 膨大な数のスキャナーのレポート(フォール);
- 狭い焦点;
- コンテストと脆弱性の「証拠」。
多くの場合、バグバウンティプログラムに参加しているバグハンターの多くは、「クラウン」チップに限定し、他の何かを調査せず、またはその逆で、少なくとも何かをキャッチすることを期待してすべてをスキャナーの下に置きます。 これにより、テストに対する多様であるが不完全なアプローチが提供されます。 また、膨大な数のスキャナー応答の失敗により、開発チームが不必要な作業で一杯になる可能性があります(これには、各レポートの追加チェックと応答が含まれます-多くの可能性があります)。
オープンプログラム
ほとんどの企業は、HackerOneやBugCrowdなどのアグリゲーターサイトに参加しています。
多くのロシア企業は、HackerOneで独自のプログラムとプロファイルの両方を公開しています。 その中には、Yandex、Mile.ru、QiWi、Vkontakteなどの多くの企業があります。 国防総省が独自のバグ報奨プログラムを持っている場合でも、私は何を言うことができます。 (ペンタゴンをハッキングし、お金を稼ぎ、自由なままでいることは、ハッカーの夢のように思えますが、それはすでに厳しい現実です)。
平均的な支払いは、脆弱性と場所に応じて200〜1,000ドルです。
ここで、たとえば、「バグハンティング」プログラムで検出された脆弱性のコストの推定-Yandex:
- A01。 注射170,000ルーブル。 (重要なサービス); 43,000こする。 (その他のサービス)。
- A02。 Crossite Scripting-A05。 Crossiteリクエストフォージェリー17,000ルーブル。 (重要なサービス); 8500こする。 (その他のサービス)。
- A06。 Web環境設定エラー-A10。 8500ルーブルのオープンリダイレクト(重要なサービス); 5500こする。 (その他のサービス)。
最も「高価な間違い」
Bug Bountyプログラムの期間中、多くの企業が合計5ドル以上をゼロで支払いました(Facebookだけが5,000,000ドル以上の報酬を支払った)が、それ自体が非常に印象的な報酬がありました。 最も興味深いのは、バグは宇宙規模のものでしたが、時にはほとんどポーク法によって発見されたものです。
ウルグアイの小学生エゼキエル・ペレイラは、1万ドルをもたらしたバグにつまずいた。 情報セキュリティでのキャリアを夢見ている学生が、App Engineサーバー(* .appspot.com)へのリクエストのホストヘッダーを置き換えるためにBurp Suiteを使用してGoogleサービスをいじりました。 ほとんどの試行で「404」が返されましたが、内部サイトの1つ-yaqs.googleplex.com-では、ログイン/パスワードによる検証が不足しており、保護のヒントがありませんでした。
既知の脆弱性を特定します。
ロシア人は、ソーシャルネットワークのソフトウェアにエラーを発見しました。特別な画像を使用して、サーバー上で任意のコードを実行できました。 これを行うには、Facebookニュースフィード内の画像を迅速にスケーリングおよび変換するように設計されたImageMagickサービスの脆弱性を利用する必要がありました、とLenta.ruは報告しています。 Leonovは、サードパーティのサービスのテスト中に誤ってエラーに遭遇し、それを調査して、Facebookの技術サービスに必要な情報をすべて提供しました。これにより、2016年11月に脆弱性が排除されました。 その結果、ソーシャルネットワークはハッカーに4万ドルの報酬を支払いました。 2014年には、サイバーセキュリティの専門家であるReginaldo SilvaがFacebookから記録的な33.5千ドルを受け取りました。
あるいは、画期的なFacebookハックとシステム内のバックドアの発見により、研究者に10,000ドルがもたらされました。Facebookをハッキングして他人のバックドアを発見した方法。
参加したいのですが、どうすればいいですか?
自分の手とエラーを検索する機能を試してみることにした人のために、勝利につながるいくつかの基本的な手順をアドバイスできます。
ニュースをフォローしてください。 プログラムの範囲が更新されました-新しいサービスを確認するために実行します。 メーカーは新しい機能を追加したか、古い機能を拡張したか、サードパーティのサービスを統合しましたか? -特に複雑なインフラストラクチャにおいて、ミスを犯す絶好の機会。
粘り強さ。 綿密な研究、詳細をお見逃しなく。 過去の検査の結果をシステムの現在の状態と定期的に比較することをお勧めします。
検索。 シークして見つける。 主要なバグのほとんどは、「非パブリック」サブドメインとディレクトリにあります。 ここでは、サブドメインを識別するための便利なツールと、ブルートディレクトリとサブドメインの優れた辞書シートを見つけることができます。
研究。 自動スキャナーを脇に置いて、砂のようなウェブアプリケーション(およびほとんどのBug Bountyはウェブに接続されています)をふるいにかけ、金の粒を探します。 ここでは、Burp SuiteまたはOwasp Zapの使用をお勧めします。これ以上優れたツールはありません。 ほぼすべての主要なバトニーの勝利は、これらのツールを使用した結果です(ほぼすべての公開レポートで確認できます)。
探検。 可能であれば、地元の研究アプリケーションをダウンロードしてください。 他の参加者のレポートを読んでください-これは心に食べ物を提供できます。 Facebookの同じハッキング-多くのロシアのバグハンターは、このサブドメインを見て、それで何かをしようとさえしました-しかし、「それをひねりませんでした」。 これには、リソースが役立ちます。非公式のHackerOne開示タイムライン