Visto che mi è sembrato di capire che molti qui lavorano in IT è alcuni sembrano interessati a questi topics, condivido le stats di questa prima parte dell’anno
Dal primo gennaio ho fatto 53 reports, di cui 14 critical secondo CVSS scoring. 6 dei 53 sono ancora under review. Circa la metà era “duplicates” (altri hunters le avevano trovate prima di me) e una out of scope.
La maggior parte riguarda broken access control vari, assieme ad alcune XSS, SQLi.
La vulnerabilità che ho trovato più velocemente è stata password reset poisoning attraverso host header injection, trovata entro 20 minuti dall’inizio con un bounty program privato per un e-commerce asiatico. Reward: 300e.
La più difficile è stata una blind SSRF in una feature di webhook di un research center che mi ha consentito di aggiungere una SSH key per un host attraverso la metadata API di Google Cloud, che ho usato per accedere ad un admin panel altrimenti non accessibile da internet. Reward: 8k
La più alta reward e’ stata di $10500 per un servizio di streaming, dove ho fatto bypass per la restrizione per il numero di devices per concurrent streaming per guardare media da unlimited devices con un solo account senza bisogno di fare authentication, mentre il numero dei devices riportati era di solo uno.
La delusione più grande è stata per una race condition che mi ha impiegato molto tempo per riuscire a registrare molte persone con un solo ticket per eventi. Purtroppo era un duplicate e non ho ricevuto nessuna reward.
Da circa tre anni mi sta andando piuttosto bene e ormai lavoro soltanto su private programs (= meno competizione) perché ricevo inviti praticamente ogni settimana.
Se siete curiosi su dettagli di vulnerabilità o siete interessati a saperne di più su bug bounty hunting fatemi sapere :)
Allora, dato il mio lavoro e la domanda che mi fanno tutti i clienti, colgo l’occasione per chiederti, cosa ne pensi dei CMS comuni tipo Wordpress?
Pensi sia più facile trovare una vulnerabilità su un WP o su un servizio costruito da zero dove non hai accesso a documentazione e struttura?
In linea di principio software open source e’ sotto gli occhi di molte persone e dunque è più probabile che vulnerabilità vengano riportate e corrette presto. WordPress “core” e’ abbastanza sicuro da diversi anni, e le vulnerabilità core sono meno frequenti che in passato. Il problema sono i plugin e i temi, perché la maggior parte di questi sono scritti molto male purtroppo. A causa di questo, spesso trovi vulnerabilità in un minuto con eg wpscan. Mi basta fare una ricerca random su google per trovare siti vulnerabile entro le prime pagine. Dunque se mantieni il numero di plugin e temi al minimo e meglio.
Per quanto riguarda sistemi proprietari l’assenza di documentazione o altra informazione non significa migliore security posture. Quello che faccio come bounty hunter e red teaming per esempio è un approccio “black box”. Si chiama così perché di solito non hai alcuna knformazione a parte URLs e informazioni di pubblico dominio, dunque di solito spendi prima del tempo con una fase di recon con una serie di tools e tecniche per trovare quante più informazioni possibile sul target. Probabilmente ti sorprenderebbe quanto si può trovare se sai come fare e quali tools usare :)
Non sono molto esperto con mobile cmq credo Android. Non a causa del OS ma perché molti devs hanno l’abitudine di fare storage di credentials in clear text in cache db. Cmq ripeto non ho molta esperienza con mobile.
il mondo delle bug bounty mi ha sempre affascinato un casino, ma vuoi per mancanza di tempo e di forza di volontà non sono mai riuscito a fare nulla
è stato però estremamente emozionante quando in un mio precedente lavoro ho trovato una grossa vulnerabilità giocando con le api di un cliente fuori dall’orario di lavoro, non ci potevo credere grosso player nel mondo delle scommesse e dei giochi ad estrazione, la validazione dei token di accesso ho scoperto essere semplicemente un if (token != undefined) return true
ora sto riprendendo un po’ in mano tutte le tematiche di security nella mia attuale azienda, non in veste ufficiale ma con il ruolo di security champion e devo dire che sta iniziando a darmi soddisfazioni
Come ho detto sopra se vi interessa questo non è mai troppo tardi. Il bello di BB è che lo si può fare quando è come si vuole o può’, non è che c’è qualcuno che ti controlla. Io lo faccio la sera e nei weekend. Il mio day job ha a che fare con sicurezza pure ma BB è diverso. Con normali pentest hai il problema del tempo limitato, mentre con BB sei tu a darti dei limiti ed è questo il motivo per cui con BB si tende a trovare anche vulns che spesso non vengono trovate durante pentest. Come d dicevo se siete interessati basta voler iniziare. Ovviamente tenete presente che non è facile cmq. Le aziende, anche molto grandi, che avviano un BB program lo fanno quando hanno già una buona security posture, quindi c’è anche bisogno di essere pazienti con queste cose e ovviamente una buona dose di skills.
si purtroppo è quello, trovare il tempo per farlo e la voglia, poi comunque immagino devi ritagliare un po di quel tempo anche per aggiornamenti tuoi di conoscenza sulle ultime CVE, vulnerabilità etc.
e per il momento non riesco proprio a far coincidere con la mia job day che è comunque security.
infrastrutture cloud/on-prem e messa in sicurezza di quest’ultime
molto di più improntato sulla operatività con basi anche devops, inizalmente ho iniziato, per poco fortunatamente, facevo più controllo accessi su infrastrutture
in realtà è una cosa che mi sarebbe piaciuta affrontare molto di più nel dettaglio (nel senso il tipo di architettura segue quella impronta ma senza la scalabilità e qui arriva il fatto secondo me del perchè sta spendendo parecchio e perchè si cambia ogni 3 anni.) se non fosse che il cliente precedente migrava ogni 2*3… e cambiava tecnologie ogni 3 giorni (molto bella cosa inizialmente perchè vedi tanto ma alla lunga stargli appresso stanca)
boia, gg.
io faccio tendenzialmente ““blueteam”” un quarto del tempo (startup ) ma fondamentalmente si tratta di tenere robe aggiornate, guardare i log, e robe tipo risk analysis e spuntare crocette. le skillz che avevo sono deteriorate parecchio, però mi piacerebbe tornare a paciugarci
ma quando parli di inviti si parla di hackerone et similia?
un po’ di tempo fa leggevo un commento simile in giro, si diceva che alla fine sono sempre le solite cose che tornano a galla regolarmente, nella tua esperienza ti sembra sia così o progressivamente (visto che parli di almeno tre anni) devi andare a scavare più a fondo/vuln più complesse?
guarda ci sono scenari dove gli application server girano su infrastrutture neanche più supportate (da anni, e non uno o due anni ma arriviamo al 10 facile) dal fornitore stesso, quindi neanche mi sorprende tanto… purtroppo in tanti ambiti è rimasta ancora la legge “funziona non tocchiamolo”
invece in questo ultimo cliente mi sa che non ha idea manco lui di quello che vuole fare e l’unico suo problema è rientrare in delle spese di costi/mantenimento ritenuti buoni… siamo stati 5 anni su un provider cloud e adesso volevano ri-cambiarlo… per non parlare di messa in produzione di nuove infrastrutture, che ci son voluti 6 anni di lavoro, in regime poi in questi anni durata solo 3. ora stavano rivedendo il tutto con altre tecnologie.
