- Автор темы
- #1
Много ли платят компании за найденые уязвимости?
Привет, аноним. В этой статье я расскажу тебе о том, сколько получают белые хакеры, которые участвуют в Bug Bounty программах. В целом, мы посмотрим, какие уязвимости репортят пользователи и сколько готовы платить за это компании. Для того чтобы показать максимально интересно, рассмотрим на примере отчетов найденных уязвимостей. Присаживайся поудобней, сегодня будет очень много интересного контента.
Вводная информация
Bug Bounty — это программа, в рамках которой пользователь может найти уязвимость, а заказчик заплатит за нее. Простыми словами, владелец сайта говорит вот сайт, за каждую найденную уязвимость плачу 500 долларов.
Конечно, существуют разные виды Bug Bounty программ, разные условия и оплата. Но нам вся эта информация не совсем интересна, так как, если вы станете на этот путь, то всегда сможете прочитать условия конкретной Bug Bounty. Могу сказать, что это очень важно, потому что бывают не совсем точные моменты, и из-за неправильной формулировки могут отказать в выплате. Да и не совсем приятно, если вы тестируете поддомен сайта, находите там уязвимость, а этот ресурс вне скоупа. Поэтому очень важно читать все условия.
Анализ выплат
Конечно, всем интересно о деньгах. Поэтому мы решили посмотреть суммы, которые выплачивают хакерам за найденные уязвимости. Если тебе интересно следить за хронологией, можно подписать на этот аккаунт в Твиттере. Здесь можно посмотреть за ошибками и выплатами, по платформе HackerOne. Это достаточно известная площадка, клиентами которой являются Mail.ru, PayPal, Министерство Обороны США, фрукт киви, Vimeo и другие.
Итак, идем дальше и проанализируем выплаты на самой площадке. Для этого переходим на сайт Hackerone и в раздел Hacktivity. Здесь отображаются последние выплаты за найденные уязвимости. Те, что отображаются серыми полосами, являются не публичными. Отчеты, размер выплаты и другие условия по таким программам не отображаются. Давайте разберем, что есть с публичного доступа.
Для более детального анализа я сделал выборку по последним 30 отчетам, чтобы понять общую картину. Основная цель — посмотреть, какая средняя выплата и тип уязвимости. Средний чек получился 816,9 доллара. Очень сильно это значение зависит от нескольких больших выплат, которые были в выборке. Так средняя выплата составляет $100-300. В эту категорию попадают большинство XSS и SQL. Что получилось, можно увидеть на скриншоте.
Full Path Disclosure за $50
Меня интересовал минимальный порог входа. На площадке существует минимальная выплата — 50 долларов. Давайте посмотрим, за что можно получить эти деньги, и какие уязвимости нужно найти. Первая уязвимость, которая попала в глаза, это Full Path Disclosure. Знание полного пути, где располагается сайт - не совсем уязвимость, тем не менее, данная информация будет очень нужна при загрузке веб-шелла, например, через SQL-Injection.
Вот примеры запросов, которые приводили к появлению подробной информации:
Пример 1
Пример 2
Web Cache Deception и XSS за $200
Основная часть найденных уязвимостей на сайтах — XSS. В зависимости от сложности выплаты составляют от $100 и до $1500. Последняя планка выплачивается за сохраненные XSS. Давайте рассмотрим конкретный случай. Реализация атаки заключается в том, чтобы с помощью скрипта заразить кэш запросом, с нужными заголовками. Потом страница обновляется несколько раз, а ответ остается уже с XSS.
HTTP ответ:
SQL Injection за $300
Вот такую уязвимость нашел один из пользователей в сервисе фрукт киви. Данная ошибка возможна при восстановлении пароля. Пользователь детально описал эксплуатацию, как можно было реализовать данную уязвимость.
Инструкция по эксплуатации
Как видно payload подставлялся в POST запрос на сброс пароля, и получаем обычную SQL-инъекцию.
HTTP Request:
После выполнения запроса, бекенд генерирует ошибку и отдает нам информацию, которая была запрошена, а именно версия СУБД.
Код ошибки
SMS/Call spamming за $500
Пользователь нашел уязвимость, при которой отсутствовала проверка номера, при регистрации в Android Rider (Uber). Таким образом, можно было вводить разные номера и на телефон приходили бы текстовые сообщения, а также вызовы с просьбой подтвердить регистрацию.
Обход двухфакторной авторизации за $10000
Есть и такие примеры, но их намного меньше. Пользователь смог обойти двухфакторную авторизацию, а также внутренние лимиты системы (риск 5.0). Дальше в ходе анализа была найдена еще одна уязвимость, которая была уже серьезней - с риском 7.1. За первую уязвимость хакер получил 2500 долларов. И за вторую 7500 долларов. В итоге, финальная котлета составила 10 000 долларов.
Заключение
Среди разобранных отчетов, есть несложные уязвимости, которые достаточно быстро и просто найти. Для этого есть утилиты, а также нужные инструменты. Если смотреть в эту сторону, то можно зарабатывать и на поиске уязвимостей, участвуя в программах BugBounty. Конечно, найдя хорошую уязвимость и получив шелл, можно заработать куда больше. Всегда есть выбор, работать ли «в белую» или «в серую».
В следующих статьях я покажу, как можно найти элементарные уязвимости на сайтах, а также определенные инструменты, которые позволяют существенно упростить этот поиск. Это достаточно интересное направление, которое позволит вам лучше понять принцип работы веб-приложений, а также возможные уязвимости.
