执法领域的赏金猎人通常被认为是那些长发飘飞的野蛮人,他们会不惜一切代价追捕犯法者。Bug赏金猎人也许你对追踪基于代码的缺陷也有同样的热情,但是你很难从一堆缺陷中找出它们。
漏洞赏金猎人不再追踪犯罪者,而是追踪公司网站上的任何漏洞。
乔纳森·辛格(Jonathan Singer)是一名安全工程师
黑客发现漏洞的新闻已经司空见惯,漏洞赏金猎人已经成为必要。就在上个月谷歌支付了7.5万美元的臭虫奖金修复了Chrome的159个缺陷。甚至微软增加了一个漏洞奖励程序今年9月,他提出为发现的漏洞支付最低500美元。
虽然金钱是一种不错的激励(而且臭虫赏金猎人不会拒绝任何奖励),但他们很高兴能得到鼓励和对自己工作的认可。这是一种在网站上合法工作而不用担心被起诉的方法。
安全咨询行业的安全工程师乔纳森?辛格(Jonathan Singer)说:“不受法律威胁就侵入在线网站的情况并不常见。”“如果安全的话,我已经联系了一些公司。负责任的披露是最好的政策,但需要更多的地方接受它。”
一个只透露了他的手柄Bitquark的臭虫赏金猎人说,他喜欢利用设计者可能没有打算或没有计划的系统的路线。
“花几个小时的时间在某样东西上,直到最终找到一个虫子,这是非常令人满意的。”
特斯拉汽车公司(Tesla Motors)的信息安全工程师在漏洞奖励的世界里取得了成功Facebook中的SQL注入缺陷。这一发现为他赢得了1.5万美元的报酬。这个缺陷导致了在Oculus开发者门户中远程执行代码。
这位30多岁的工程师说,他可能会不时地挑选一个项目,但其他一些项目可能需要更协调一致的努力。
辛格从事臭虫赏金猎人只有一年多的时间。
“对我来说,这仍然是一种爱好,有点像周末武士表演,”他说。“我的朝九晚五的工作已经按照规定和政策花掉了,所以这是一种放松的方式,看看存在哪些挑战,或许还能得到一些好处或现金。”
在这样的网站上Bugcrowd,您可以找到open bug奖励列表以及一些贡献者的概要。在Bugcrowd上显示的公司包括EMC、谷歌、IBM、微软和雅虎。每个布局的细节是什么是开放的审查,在他们的网站,什么是可用于奖励。例如,谷歌列出了2万美元的奖励,奖励那些能够发现自己账户中远程代码执行情况的人。
塞巴斯蒂安·尼夫(Sebastian Neef)、提姆·菲利普·谢弗斯(Tim Philipp Schafers)和朱利安·阿伦斯(Julien Ahrens)则因发现了一具尸体而获得了五位数的奖金路径遍历的脆弱性在PayPal的主域名上。这样,他们就可以从服务器下载任何文件。
Neef和Schafers成立了Internetwach.org2012年,阿伦斯也加入了他们。当被问及他们是一边上大学一边照顾家庭,还是一边做捕虫赏金猎人一边工作时,他们说他们还没有结婚,“但是有时候女朋友会让生活更耗费时间,我们都知道家人/女朋友比捕虫更重要。”
Neef(21)在柏林技术大学学习计算机科学,而Schafers(19)也在Bielefeld学习经济和计算机科学。阿伦斯今年29岁,在secunet安全网络公司(secunet Security Networks AG)工作。当他们开始听说黑客组织“匿名者”的消息时,他们就开始从事漏洞奖励这一副业。
自然,媒体试图将各种黑客诋毁为罪犯。很明显,小错误可能导致大数据泄露。”
三人组建议任何想要进入这个行业的人要准备好跳出框框进行思考,并在你的方法中发挥创造性。他们列出了一个臭虫赏金猎人应该具备的属性列表:
- 创造性:尝试寻找新的方法绕过/结合/利用特定的情况,想出新的攻击载体
- 像开发人员一样思考:这个人必须同情编写应用程序的开发人员。只有这样,您才能考虑边缘情况或理解应用程序的工作/数据流。
- 像个坏男孩一样思考:试着突破极限。在成为目标机器的根用户之前不要停止
- 礼貌/冷静:向开发人员解释复杂的安全问题并不总是那么容易。成功的一个非常重要的关键是正确地交流您的想法的可能性,因为您希望开发人员修正您的安全发现。
- 现实:总是考虑对业务的实际影响和由此产生的风险。
- 负责:发现一个关键的错误通常会给您带来巨大的负担。采取相应的行动。
看看安全社区,我们就会发现有很多顶尖的bug猎手,他们几乎完成了以上所有的任务。另一方面,也有一些“不熟练的”或新的bug猎人,他们试图通过使用一键工具来快速赚钱,有时甚至会威胁到企业主。我们拒绝称这些人为‘臭虫猎手’。”
他们喜欢臭虫赏金狩猎,因为这给了他们自由,可以随时打破他们想要的东西。“通过提交有用的报告,越来越多的公司将很有可能了解负责任的信息披露,”他们称,寻找漏洞赏金是众包的终极。
这些错误赏金猎人发现的常见错误通常涉及基本配置错误或缺少最佳实践问题。当遇到更严重的错误时,像跨站点脚本编写(XSS)和跨站点请求伪造(CSRF)这样的标准并不少见。
大多数开发框架处理基本的XSS和CSRF问题。他们已经注意到SQL注入bug的减少,这可以通过ORMs和准备好的语句来支持,这些语句可以很好地防止SQL profile网站和/或工具的出现。
“安全关乎实践。不断尝试,不断尝试,不断学习新东西。”辛格补充道。“我看到一些研究人员一头扎进去,试图破解眼前的一切。祝他们好运,但实际上事情没那么简单。”
漏洞赏金猎人警告说,不要在得到网站所有者的批准之前单独寻找漏洞。像Bugcrowd这样的网站可以帮助建立法律文档来保护赏金猎人。
这个故事,“为什么臭虫赏金猎人喜欢追逐的刺激”最初出版方案 。