Mr.Lestrade

Санитар Леса
Премиум
203
167
15 Июл 2018
Bug Bounty — это программа, в рамках которой пользователь может найти уязвимость, а заказчик заплатит за нее. Простыми словами, владелец сайта говорит вот сайт, за каждую найденную уязвимость плачу 500 долларов.

Конечно, существуют разные виды Bug Bounty программ, разные условия и оплата. Но нам вся эта информация не совсем интересна, так как, если вы станете на этот путь, то всегда сможете прочитать условия конкретной Bug Bounty. Могу сказать, что это очень важно, потому что бывают не совсем точные моменты, и из-за неправильной формулировки могут отказать в выплате. Да и не совсем приятно, если вы тестируете поддомен сайта, находите там уязвимость, а этот ресурс вне скоупа. Поэтому очень важно читать все условия.

Анализ выплат
Конечно, всем интересно о деньгах. Поэтому мы решили посмотреть суммы, которые выплачивают хакерам за найденные уязвимости. Если тебе интересно следить за хронологией, можно подписать на этот аккаунт в Твиттере. Здесь можно посмотреть за ошибками и выплатами, по платформе HackerOne. Это достаточно известная площадка, клиентами которой являются Mail.ru, PayPal, Министерство Обороны США, Qiwi, Vimeo и другие.

1543943636871.png


Итак, идем дальше и проанализируем выплаты на самой площадке. Для этого переходим на сайт Hackerone и в раздел Hacktivity. Здесь отображаются последние выплаты за найденные уязвимости. Те, что отображаются серыми полосами, являются не публичными. Отчеты, размер выплаты и другие условия по таким программам не отображаются. Давайте разберем, что есть с публичного доступа.

Средний чек за уязвимости, 816$.

Full Path Disclosure за $50
Меня интересовал минимальный порог входа. На площадке существует минимальная выплата — 50 долларов. Давайте посмотрим, за что можно получить эти деньги, и какие уязвимости нужно найти. Первая уязвимость, которая попала в глаза, это Full Path Disclosure. Знание полного пути, где располагается сайт - не совсем уязвимость, тем не менее, данная информация будет очень нужна при загрузке web-shell, например, через SQL-Injection.

Web Cache Deception и XSS за $200
Основная часть найденных уязвимости на сайтах — XSS. В зависимости от сложности выплаты составляют от $100 и до $1500. Последняя планка выплачивается за сохраненные XSS. Давайте рассмотрим конкретный случай. Реализация атаки заключается в том, чтобы с помощью скрипта заразить кэш запросом, с нужными заголовками. Потом страница обновляется несколько раз, а ответ остается уже с XSS.

SQL Injection за $300
Вот такую уязвимость нашел один из пользователей в сервисе Qiwi. Данная ошибка возможна при восстановлении пароля. Пользователь детально описал эксплуатацию, как можно было реализовать данную уязвимость.

SMS/Call spamming за $500
Пользователь нашел уязвимость, при которой отсутствовала проверка номера, при регистрации в Android Rider (Uber). Таким образом, можно было вводить разные номера и на телефон приходили бы текстовые сообщения, а также вызовы с просьбой подтвердить регистрацию.

Обход двухфакторной авторизации за $10000
Есть и такие примеры, но их намного меньше. Пользователь смог обойти двухфакторную авторизацию, а также внутренние лимиты системы. Дальше в ходе анализа была найдена еще одна уязвимость, которая была уже серьезней. За первую уязвимость хакер получил 2500 долларов. И за вторую 7500 долларов. В итоге, финальная котлета составила 10 000 долларов.

Заключение
Среди разобранных отчетов, есть несложные уязвимости, которые достаточно быстро и просто найти. Для этого есть утилиты, а также нужные инструменты. Если смотреть в эту сторону, то можно зарабатывать и на поиске уязвимости, участвуя в программах BugBounty. Конечно, найдя хорошую уязвимость и получив shell, можно заработать куда больше. Всегда есть выбор, работать ли «в белую» или «в серую».