Hallo von der anderen Seite. Interview mit einem Käfer-Kopfgeldjäger.
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
목차
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
