Интервью с багхантером Impact
https://t.me/+V6d8SvKVFXo2MjIyНа момент выхода интервью - Impact имеет более 2180 поинтов на HackerOne.
Сегодня мы узнаем, как находить Critical уязвимости, можно ли их искать имея только смартфон и получим крутые советы. Ну и конечно не забываем про пиццу, которую наш гость обещал тому, кто первым ответит на его вопрос!)
Как вообще сложилось так что ты начал багхантить? Где ты этому учился?
Хотел стать программистом — попал в ИБ.
Читал статьи на Античате, искал информацию в Google, очень много было практики. В итоге, во время моего пути к программисту, знаний было достаточно, чтобы полноценно зарабатывать с помощью багбаунти.
Чем багхантер/хакер отличается от работяги на заводе?
На самом деле много чем, но хотелось бы донести до читателей одно важное отличие.
Как почти любой IT специалист, багхантер использует международные стандарты и стек технологий, которые не привязаны к региону. Такой специалист может работать удалённо, это делает его конкурентоспособным и позволяет выбирать работодателя.
Сколько часов в день нужно багхантить, чтобы выжить?
Зависит от багхантера. Приблизительно 5 часов.
Какая у тебя конфигурация ПК, с которого ты ломаешь?
Intel Core i7 7700
Kingston FURY Beast Black [KF432C16BB/32] 32 ГБ
IPS монитор
Можно ли зарабатывать на взломе приложений, имея только телефон и не имея компьютера?
Вообще, много людей выбираются на свет благодаря такой возможности. Как подсказывает опыт наших иностранных коллег — можно.
Однажды нашёл Race Condition с помощью смартфона, когда заказывал еду. Если быстро нажать на кнопку "Применить промокод" то можно было начислить себе 3000 рублей вместо 500. Очевидно, это серверная уязвимость, которая найдена через клиент.
Часто ли тебе пишут начинающие багхантеры с вопросами?
Часто, но в основном это люди из-за границы. У нас пока не так много багхантеров.
Какие цели у тебя на ближайшее будущее?
Что лучше автоматизация или ручной поиск уязвимостей?
Мои планы на будущее это попытка ответить на данный вопрос.
Расскажи о самом простом баге, который тебе удавалось найти и за который ты получал награду.
На BugCrowd есть мобильное приложение TripAdvisor. Ну, я как обычно взял и перетащил apk-файл с помощью drag&drop в jadx.
Там в классе WebView, где вставлялся токен авторизации была регулярка
Pattern.compile("^(?:https?\\:\\/\\/(?:[A-Za-z0-9_\\-]+\\.(dhcp(\\-[A-Za-z]+)?\\.([A-Za-z0-9_\\-]+\\.corp\\.)?|(nw\\.)?dev(\\-[A-Za-z]+)?\\.|cmc\\.|d\\.)?)?tripadvisor\\.(?:com|(?:[a-z]{2})|(?:(?:co|com)\\.[a-z]{2})))?\\/.*$");
Предлагаю читателям интерактив. Где здесь ошиблись разработчики? Первому кто ответит закажу пиццу.
Какая у тебя самая любимая багбаунти программа из всех существующих?
L'Oreal. Там мне удалось наладить взаимопонимание с менеджером Chase Franklin. Крутой мужик.
Ещё эта программа щедро платила Bounty.
У них сайты имели один исходный код, который содержал уязвимости Account Takeover.
И как только они добавляли новый сайт в Scope, Я тут же сдавал им такую же багу.
Мне удалось залутать там много тысяч баксов.
Есть перспективы сейчас заниматься багхантингом?
Пока существуют уязвимости и платформы для них — возможности однозначно есть! Неужели вас остановят преграды в виде региона? Может вам оно и не сильно надо?
Тем более сейчас одна из крупнейших bugbounty программ H1 перешла на новую платформу Standoff365.
Что изменилось с того времени, как ты начал ломать сайты / приложения?
Количество сайтов и приложений увеличилось, как и количество ИБ специалистов. Мне наконец стало казаться, что в этой сфере есть куда расти.
Появилось bugbounty — оно стало важной частью AppSec процессов для каждой уважающей себя IT компании.
Как близкие относятся к твоей деятельности?
По-разному. Люди, которым лень разбираться и воспринимать меня как технического специалиста, смотрят с интересом, любопытством.
Но в большинстве случаев, люди смотрят на это трезво, просто как на профессию.
Какая самая большая Баунти и за какой репорт, если не секрет?
Секрет.
Можешь дать главный совет багхантерам, которые читают это интервью?
Как говорил мой тренер: Меньше пиздеть - больше работать.
Не верить, что всё получится с первого раза или после ста попыток. Смотреть на вещи объективно.
Верить в свои усилия и старания.
Решать лабы портсвигера.
Ты переживаешь из-за утечек баз данных?
Мне кажется, это один из тех инцидентов ради которых запускается bug bounty программа. Да.
Имеет ли смысл сейчас искать XSS уязвимости?
Да
Какая уязвимость сейчас встречается чаще всего?
XSS. Данная уязвимость занимает лидирующую позицию уже несколько лет согласно отчёту hackerone.com/top-ten-vulnerabilities
Выступаешь ли на конференциях разных? Если да то почему, если нет то почему?
Конференция, это личностный рост, где ты можешь познакомиться с людьми или встретиться со старыми знакомыми. Возможно, найти работу или найти человека к себе на работу.
Я выступаю на конференциях. Например, недавно на OFFZONE 2022. Для меня это возможность показать экспертизу своей команды и способ держать себя в форме.
Это может быть необязательно для багхантера, так как ему важнее всего hard-скиллы.
Как не светиться в интернете? Возможно ли это?
У моего двоюродного дедушки нет инстаграма.
Не публиковать информацию. Конечно, возможно.
Что скажешь по поводу комьюнити?
Мне кажется, что в основе идеи комьюнити лежит замечательная, тёплая идея.
Стараться вместе, поддерживать друг друга и делиться знаниями. Это круто и мне хочется быть частью этого.
Но нужно помнить, что люди бывают разные. Старания могут превращаться в лень, поддержка — в постоянные просьбы о том, чтобы всё сделали за тебя.
macOS или Windows?
Debian
Если можно, то расскажи какой-то один секрет из багбаунти для подписчиков)
Чтобы начать зарабатывать на BugBounty достаточно периодически запускать Acunetix через прокси с ротацией IP.
Мне нравится позиция HackerOne — позиционировать себя как соцсеть, вы можете делиться и обучаться у других. Ведь там реальные люди у которых есть блоги, а реварды и репутация вам доступна для просмотра. Вы можете следовать за ними.
Пишешь ли репорты на английском языке?
Большинство репортов на английском.
Есть ли такой сайт, который невозможно сломать?
Конечно есть. Например сайт, который написан только на HTML
Но ходят слухи, что ребята из Кавычки могут справиться даже с таким сайтом.
Нужно ломать что-то одно или выбирать десятки разных программ и ломать все сразу?
Оба подхода могут быть верны. Всё зависит от вас и ваших навыков.
Что будет в будущем? Сколько будут актуальны хакеры?
Я не ванга, но попробую)
В будущем цифровизация увеличится. ИБ будет расти пропорционально количеству кибер-преступлений.
Хакеры всегда актуальны, пока люди используют технологии.
Ты смотришь телевизор?
Нет, только аниме.
Нужно ли высшее образование, чтобы быть крутым хакером?
Понятия не имею. Я AppSec.
...
Если серьёзно, это вопрос для дискуссии. Человек, который старается может превзойти программу в Институте.
Другое дело, что учебное заведение даёт базу, удобную платформу для обучения и людей, которые тебе помогут и объяснят материал.
Правда, не всегда есть подходящие специалисты в институтах, и не всегда знания, которые преподают, пригодятся в твоём направлении. Нужно исходить из ваших возможностей и целей.
Крутым хакером - можно стать и без высшего образования. Важно, чтобы вы добивались результата.
Что приносит хакеру опыт? В чем разница между хакером который ломает 1 год и зарабатывает в багбаунти и между хакером, который ломает уже 10 лет?
Опыт для хакера — это вознаграждение за найденную уязвимость.
Он хочет стабильного заработка, хорошо разбирается в архитектуре приложений, возможно может написать своё.
Были ли такие моменты, когда тебя опрокинули в багбаунти? (Ты принес репорт, но тебе не заплатили)
Были. Как-то раз принёс репорт в OPPO. Там в системном приложении нашёл RCE, а вектор атаки переход пользователя по ссылке. Потенциально можно было получить права на запись в системные папки на Color OS.
Мне отказали в выплате, просто потому что в Google Play, оказывается, была не последняя версия. Самые новые версии были в их фирменном магазине Color OS, и там уже был фикс.
Вот эти неявные моменты: неточность в политике, дубликаты, фикс заведённый в jira без создания репорта в hackerone, ошибки триагеров. Всё это издержки данной деятельности. Их нужно учитывать. На самом деле, если вы классно ищите баги — это не должно и не может вас остановить.
Как искать critical-баги?
Иметь соответствующий опыт или полагаться на удачу. Делать рисёрчи, долго исследовать приложение.
Возможно, придётся следить за приложением, если разработчики добавляют новую функцию сразу её проверить.
Как думаешь, какой второй инструмент хакера помимо Burp?
Google Chrome, jadx, bash
Были ли такие случаи, когда пригодился взлом чего-то в реальной жизни?
Конечно, не всегда есть доступ в интернет.
Назови топ-1 ресурс, который рекомендуешь почитать и почему?
hackerone.com/hacktivity
Даст вам информацию о том, что такое bugbounty. Покажет пример отчётов. Отобразит возможные расценки.
Лайки и репосты приветствуются!)