Как начать заниматься багхантингом веб-приложений Ч.3 (Заключительная)

DOMINUS_EDEM

Прошлый ник Khan
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
23/1/16
Сообщения
2.068
Репутация
5.626
Реакции
5.875
RUB
0
Депозит
22 000 рублей
Сделок через гаранта
21
Предыдущая часть —

Российская платформа для багхантинга

Наибольшее количество программ и максимальные выплаты сегодня можно найти на платформе The Standoff 365 Bug Bounty. После запуска на платформе были размещены 16 программ bug bounty, в том числе «Азбуки вкуса», Rambler&Co, VK, Дзена, Skillbox и GeekBrains. В программах VK максимальные награды достигают 1,8 млн рублей за критические уязвимости (и первые выплаты уже одобрены).

d4737f6846d0b3fb3cf89c6d83a142f2.png

Чтобы участвовать в программах bug bounty, багхантеру нужно зарегистрироваться на удобной ему площадке, выбрать понравившуюся программу, внимательно прочитать ее правила, изучить скоуп и начать искать уязвимости. Обнаружив уязвимость или возможность проведения атаки, исследователь пишет отчет, отправляет его и ждет ответа.

Награда будет зависеть от уровня опасности уязвимости. Приведем в качестве примера суммы вознаграждений программы bug bounty от компании VK:

c4160ce261589c95a4b40605de6cb405.png

Как и везде, в багхантинге существует конкуренция. Багхантеры сталкиваются с ней, когда, например, отправляют отчет об уязвимости, а его не принимают, устанавливая статус «Дубликат». Эта ситуация означает, что другой багхантер сообщал об этой уязвимости ранее и сейчас, скорее всего, уже идет процесс ее устранения.

Как отправить отчет

Рассмотрим, как отправить отчет, на примере программы bug bounty от Positive Technologies. Ее описание вы найдете здесь. На странице необходимо нажать кнопку «Сдать отчет» и выбрать пункт «Об уязвимости»:

462c0eb8f92d3dd716b3aaf0cf6af976.png

После этого багхантер попадет на страницу отправки отчета об уязвимости. Описание отчета состоит из нескольких пунктов:

  • Название — короткое описание того, что нашел багхантер.
  • Уровень опасности — он зависит от найденного типа уязвимости — не указан, низкий, средний, высокий, критический.
  • CVE — база данных общеизвестных уязвимостей информационной безопасности. Она располагается по этому адресу. В случае, когда багхантер находит уязвимость, которая уже общеизвестна и имеет свой номер CVE, этот номер следует указать при оформлении отчета.
  • Описание — детальное описание уязвимости, подробные шаги по ее воспроизведению и рекомендации по устранению.
  • Файлы — здесь можно прикрепить дополнительные файлы мультимедиа (видео, скриншоты).

Продемонстрируем пример заполнения отчета о разобранной ранее уязвимости — SQL Injection в MantisBT версии 2.24.3 (CVE-2020-28413):

39dea2e13077d91e86da53cf9aede14f.png

Заключение

Рост заинтересованности все большего количества компаний в результативной кибербезопасности делает профессию багхантера все более популярной и востребованной. В эпоху глобальной цифровизации, когда сложность и размер приложений постоянно растут, риск появления уязвимостей и их эксплуатации хакерами становится все выше. Внедрение программ bug bounty, как на уровне отдельной компании, так и на уровне специализированной площадки, поможет исправлять уязвимости до того, как ими сможет воспользоваться злоумышленник.

Важно продвигать такие понятия, как наступательная информационная безопасность, этичный хакинг и багхантинг, наряду с обучением программированию. Обширная база доступных учебных материалов позволяет стать багхантером любому человеку. Самое главное — это начать учиться, углублять полученные знания и набирать драгоценный опыт.

Заключительным аккордом перечислим интернет-ресурсы, книги и площадки, которые, на наш взгляд, помогут в изучении багхантинга:

  • The Standoff — это киберпространство, в котором воссоздаются операционные и бизнес-процессы, существующие в реальных промышленных, энергетических, транспортных и финансовых компаниях (пространство создано компанией Positive Technologies);
  • WebSecurityAcademy — бесплатная онлайн-площадка для обучения веб-безопасности от создателей BurpSuite;
  • HackTheBox — масштабная онлайн-платформа для обучения кибербезопасности;
  • Pentesterlab и Vulnhub — коллекции уязвимых систем, которые могут быть использованы для тестирования на проникновение и понимания принципов уязвимостей;
  • Hacktricks — сборник хакерских трюков и техник, которые встречались в CTF и реальных приложениях;
  • GTFOBins — тщательно отобранный список двоичных файлов Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах;
  • The Web Application Hacker's Handbook — книга о том, как обнаруживать и использовать недостатки безопасности в веб-системах;
  • BugBounty Writeups — список отчетов по программам bug bounty;
  • OWASP (Open Web Application Security Project) — открытый проект в области обеспечения безопасности в веб-приложениях.
 
Сверху Снизу