来自另一个世界的你好。采访一位昆虫赏金猎人。
本月早些时候,比利时的虫子赏金猎人。 Inti De Ceukelaire披露了一个影响到数百家公司的创造性黑客。该技巧涉及利用有缺陷的 业务逻辑以获得对内部网、社交媒体账户或最常见的Yammer和Slack团队的访问。你可以在 Inti自己的博客文章.我对想出这个漏洞所需的创造力印象深刻,并对其中的过程感到好奇,所以我决定问Inti一些问题,现在我和你分享他的答案。
你好,Inti,你能向我们的读者简单介绍一下自己吗?
我是Inti,Intigriti和Hackerone的错误赏金猎人。我住在Aalst(比利时),每天都在破坏东西。
上周我读了你的博文,关于你后来所称的'车票把戏',我对你找到这个漏洞的创造力印象深刻。你是如何想到要尝试这个技巧的?
我参加了漏洞赏金计划,这意味着某些网站向发现独特漏洞的负责任的安全研究人员提供资金。由于竞争很激烈,你需要不断寻找别人还没有发现的东西。我认为Slack是一个有趣的攻击媒介,因为它经常持有敏感信息,有时只需要一个有效的公司电子邮件。于是我拿起啤酒,躺在沙发上,开始思考所有可能的攻击载体。突然间,我有了这个疯狂的想法--而且事实证明它成功了。我一般会尝试所有进入我脑海中的东西。尽管这只奏效了几次,但却得到了回报;-)
作为一个通常在对面工作的人,试图确保代码的安全,我经常想知道一个pentesting会话是什么样子。 你在哪里工作?这是你在空闲时间在沙发上做的事情吗?还是你坐在办公室里?
白天,我在一家名为Studio Brussel的电台担任数字创意编码员。这涉及到一些编程和一些社交媒体,但没有安全问题。我尽量不把我的爱好和我的专业工作混在一起。我担心如果我这样做,我会失去我的创造力。我不经常黑客:每周最多几个小时。它可以在桌子上,在沙发上或在我的床上--只要在那一刻是舒适的。
你如何开始?你有一个小抄吗?你是否有一些输入来测试是否有足够的输入验证或输出转义?
我真的很混乱,所以我没有一个真正的检查表,我只是用我的直觉。大多数时候,我从一个叫侦察的东西开始:列出所有有趣的目标信息、子域、IP地址,任何我可以找到的东西。在我开始黑客攻击之前,我试图看到更大的画面并理解商业逻辑。如果你只寻找标准的、教科书上的漏洞,你会错过很多更聪明和复杂的缺陷。当涉及到输入时,我试图在一个有效载荷中涵盖尽可能多的漏洞。每当我发现一些有趣的东西时,我就会用它玩上一阵子,往里面扔上很多废话,只是为了看看系统对它的反应。最好的漏洞往往可以在网络应用程序的更远的地方找到,所以我尽量深入挖掘。
你认为怎样才能成为一个好的五角大楼?你有什么诀窍可以与我们分享吗?
我不是一个entester,所以我不能真正代表一般的entester,但我认为动机和毅力是最重要的资产。大多数人甚至不会考虑在谷歌寻找安全漏洞,因为他们有世界上最好的工程师,但他们每年都会支付数百万的bug赏金。我在一个目标上工作了2年多,现在我开始接触到真正有趣的bug。这需要一段时间。普通的entesting的问题是,无论测试人员是否发现关键漏洞,他们都会得到一定的奖励。我相信在Facebook中仍然有很多漏洞,只是需要有人愿意深入挖掘。
当你意识到 "车票把戏 "的规模时,你的第一个想法是什么?
我的心情很复杂。我感到很惊讶,并立即想到我可以用它来收集错误的赏金,但另一方面,我对这种情况的发生感到震惊。每当你发现这样的东西时,你突然拥有了大量的珍贵信息,恶意的一方会非常感兴趣的。披露过程是一个艰难的过程:你需要尽可能多地通知受影响的公司,但另一方面,你需要确保信息不会被泄露或滥用。
为什么你决定在收集更多的赏金之前发布信息?
做正确的事比收集赏金更重要。我认为我有我的公平份额,现在想回馈社会。此外,几个月来我一直在向公司通报这个问题,所以越来越多的人知道这个问题。我不希望它被泄露或被有不良企图的人滥用。
你对受影响公司的回应有何感受?
大多数的回应都是令人满意的。有些公司其实并不关心这个问题,但到了最后,这是他们的损失。作为一个安全研究人员被拒绝是游戏的一部分。至少我没有收到任何诉讼。10年前,情况可能会是这样的。
最后一个问题,在reddit上,我读到你要求8000美元的bug赏金,你有什么很酷的计划来花这些钱吗?
总的来说,我从这个错误中得到了超过20,000美元。其中一半以上用于缴税。我把剩下的钱花在正常的事情上,比如旅行,出去吃饭,......没什么疯狂的。)
非常感谢你的时间,祝你在未来的狩猎中好运!"。
这个错误仍然存在。它并不是可以马上被修复的东西。在过去的几个月里,我联系了几十家公司和受影响的供应商,作为他们的漏洞赏金计划的一部分,以便使他们的设置得到修复。
本月早些时候,比利时的虫子赏金猎人。 Inti De Ceukelaire披露了一个影响到数百家公司的创造性黑客。该技巧涉及利用有缺陷的 业务逻辑以获得对内部网、社交媒体账户或最常见的Yammer和Slack团队的访问。你可以在 Inti自己的博客文章.我对想出这个漏洞所需的创造力印象深刻,并对其中的过程感到好奇,所以我决定问Inti一些问题,现在我和你分享他的答案。
你好,Inti,你能向我们的读者简单介绍一下自己吗?
我是Inti,Intigriti和Hackerone的错误赏金猎人。我住在Aalst(比利时),每天都在破坏东西。
上周我读了你的博文,关于你后来所称的'车票把戏',我对你找到这个漏洞的创造力印象深刻。你是如何想到要尝试这个技巧的?
我参加了漏洞赏金计划,这意味着某些网站向发现独特漏洞的负责任的安全研究人员提供资金。由于竞争很激烈,你需要不断寻找别人还没有发现的东西。我认为Slack是一个有趣的攻击媒介,因为它经常持有敏感信息,有时只需要一个有效的公司电子邮件。于是我拿起啤酒,躺在沙发上,开始思考所有可能的攻击载体。突然间,我有了这个疯狂的想法--而且事实证明它成功了。我一般会尝试所有进入我脑海中的东西。尽管这只奏效了几次,但却得到了回报;-)
作为一个通常在对面工作的人,试图确保代码的安全,我经常想知道一个pentesting会话是什么样子。 你在哪里工作?这是你在空闲时间在沙发上做的事情吗?还是你坐在办公室里?
白天,我在一家名为Studio Brussel的电台担任数字创意编码员。这涉及到一些编程和一些社交媒体,但没有安全问题。我尽量不把我的爱好和我的专业工作混在一起。我担心如果我这样做,我会失去我的创造力。我不经常黑客:每周最多几个小时。它可以在桌子上,在沙发上或在我的床上--只要在那一刻是舒适的。
你如何开始?你有一个小抄吗?你是否有一些输入来测试是否有足够的输入验证或输出转义?
我真的很混乱,所以我没有一个真正的检查表,我只是用我的直觉。大多数时候,我从一个叫侦察的东西开始:列出所有有趣的目标信息、子域、IP地址,任何我可以找到的东西。在我开始黑客攻击之前,我试图看到更大的画面并理解商业逻辑。如果你只寻找标准的、教科书上的漏洞,你会错过很多更聪明和复杂的缺陷。当涉及到输入时,我试图在一个有效载荷中涵盖尽可能多的漏洞。每当我发现一些有趣的东西时,我就会用它玩上一阵子,往里面扔上很多废话,只是为了看看系统对它的反应。最好的漏洞往往可以在网络应用程序的更远的地方找到,所以我尽量深入挖掘。
你认为怎样才能成为一个好的五角大楼?你有什么诀窍可以与我们分享吗?
我不是一个entester,所以我不能真正代表一般的entester,但我认为动机和毅力是最重要的资产。大多数人甚至不会考虑在谷歌寻找安全漏洞,因为他们有世界上最好的工程师,但他们每年都会支付数百万的bug赏金。我在一个目标上工作了2年多,现在我开始接触到真正有趣的bug。这需要一段时间。普通的entesting的问题是,无论测试人员是否发现关键漏洞,他们都会得到一定的奖励。我相信在Facebook中仍然有很多漏洞,只是需要有人愿意深入挖掘。
当你意识到 "车票把戏 "的规模时,你的第一个想法是什么?
我的心情很复杂。我感到很惊讶,并立即想到我可以用它来收集错误的赏金,但另一方面,我对这种情况的发生感到震惊。每当你发现这样的东西时,你突然拥有了大量的珍贵信息,恶意的一方会非常感兴趣的。披露过程是一个艰难的过程:你需要尽可能多地通知受影响的公司,但另一方面,你需要确保信息不会被泄露或滥用。
为什么你决定在收集更多的赏金之前发布信息?
做正确的事比收集赏金更重要。我认为我有我的公平份额,现在想回馈社会。此外,几个月来我一直在向公司通报这个问题,所以越来越多的人知道这个问题。我不希望它被泄露或被有不良企图的人滥用。
你对受影响公司的回应有何感受?
大多数的回应都是令人满意的。有些公司其实并不关心这个问题,但到了最后,这是他们的损失。作为一个安全研究人员被拒绝是游戏的一部分。至少我没有收到任何诉讼。10年前,情况可能会是这样的。
最后一个问题,在reddit上,我读到你要求8000美元的bug赏金,你有什么很酷的计划来花这些钱吗?
总的来说,我从这个错误中得到了超过20,000美元。其中一半以上用于缴税。我把剩下的钱花在正常的事情上,比如旅行,出去吃饭,......没什么疯狂的。)
非常感谢你的时间,祝你在未来的狩猎中好运!"。
这个错误仍然存在。它并不是可以马上被修复的东西。在过去的几个月里,我联系了几十家公司和受影响的供应商,作为他们的漏洞赏金计划的一部分,以便使他们的设置得到修复。
本月早些时候,比利时的虫子赏金猎人。 Inti De Ceukelaire披露了一个影响到数百家公司的创造性黑客。该技巧涉及利用有缺陷的 业务逻辑以获得对内部网、社交媒体账户或最常见的Yammer和Slack团队的访问。你可以在 Inti自己的博客文章.我对想出这个漏洞所需的创造力印象深刻,并对其中的过程感到好奇,所以我决定问Inti一些问题,现在我和你分享他的答案。
你好,Inti,你能向我们的读者简单介绍一下自己吗?
我是Inti,Intigriti和Hackerone的错误赏金猎人。我住在Aalst(比利时),每天都在破坏东西。
上周我读了你的博文,关于你后来所称的'车票把戏',我对你找到这个漏洞的创造力印象深刻。你是如何想到要尝试这个技巧的?
我参加了漏洞赏金计划,这意味着某些网站向发现独特漏洞的负责任的安全研究人员提供资金。由于竞争很激烈,你需要不断寻找别人还没有发现的东西。我认为Slack是一个有趣的攻击媒介,因为它经常持有敏感信息,有时只需要一个有效的公司电子邮件。于是我拿起啤酒,躺在沙发上,开始思考所有可能的攻击载体。突然间,我有了这个疯狂的想法--而且事实证明它成功了。我一般会尝试所有进入我脑海中的东西。尽管这只奏效了几次,但却得到了回报;-)
作为一个通常在对面工作的人,试图确保代码的安全,我经常想知道一个pentesting会话是什么样子。 你在哪里工作?这是你在空闲时间在沙发上做的事情吗?还是你坐在办公室里?
白天,我在一家名为Studio Brussel的电台担任数字创意编码员。这涉及到一些编程和一些社交媒体,但没有安全问题。我尽量不把我的爱好和我的专业工作混在一起。我担心如果我这样做,我会失去我的创造力。我不经常黑客:每周最多几个小时。它可以在桌子上,在沙发上或在我的床上--只要在那一刻是舒适的。
你如何开始?你有一个小抄吗?你是否有一些输入来测试是否有足够的输入验证或输出转义?
我真的很混乱,所以我没有一个真正的检查表,我只是用我的直觉。大多数时候,我从一个叫侦察的东西开始:列出所有有趣的目标信息、子域、IP地址,任何我可以找到的东西。在我开始黑客攻击之前,我试图看到更大的画面并理解商业逻辑。如果你只寻找标准的、教科书上的漏洞,你会错过很多更聪明和复杂的缺陷。当涉及到输入时,我试图在一个有效载荷中涵盖尽可能多的漏洞。每当我发现一些有趣的东西时,我就会用它玩上一阵子,往里面扔上很多废话,只是为了看看系统对它的反应。最好的漏洞往往可以在网络应用程序的更远的地方找到,所以我尽量深入挖掘。
你认为怎样才能成为一个好的五角大楼?你有什么诀窍可以与我们分享吗?
我不是一个entester,所以我不能真正代表一般的entester,但我认为动机和毅力是最重要的资产。大多数人甚至不会考虑在谷歌寻找安全漏洞,因为他们有世界上最好的工程师,但他们每年都会支付数百万的bug赏金。我在一个目标上工作了2年多,现在我开始接触到真正有趣的bug。这需要一段时间。普通的entesting的问题是,无论测试人员是否发现关键漏洞,他们都会得到一定的奖励。我相信在Facebook中仍然有很多漏洞,只是需要有人愿意深入挖掘。
当你意识到 "车票把戏 "的规模时,你的第一个想法是什么?
我的心情很复杂。我感到很惊讶,并立即想到我可以用它来收集错误的赏金,但另一方面,我对这种情况的发生感到震惊。每当你发现这样的东西时,你突然拥有了大量的珍贵信息,恶意的一方会非常感兴趣的。披露过程是一个艰难的过程:你需要尽可能多地通知受影响的公司,但另一方面,你需要确保信息不会被泄露或滥用。
为什么你决定在收集更多的赏金之前发布信息?
做正确的事比收集赏金更重要。我认为我有我的公平份额,现在想回馈社会。此外,几个月来我一直在向公司通报这个问题,所以越来越多的人知道这个问题。我不希望它被泄露或被有不良企图的人滥用。
你对受影响公司的回应有何感受?
大多数的回应都是令人满意的。有些公司其实并不关心这个问题,但到了最后,这是他们的损失。作为一个安全研究人员被拒绝是游戏的一部分。至少我没有收到任何诉讼。10年前,情况可能会是这样的。
最后一个问题,在reddit上,我读到你要求8000美元的bug赏金,你有什么很酷的计划来花这些钱吗?
总的来说,我从这个错误中得到了超过20,000美元。其中一半以上用于缴税。我把剩下的钱花在正常的事情上,比如旅行,出去吃饭,......没什么疯狂的。)
非常感谢你的时间,祝你在未来的狩猎中好运!"。
这个错误仍然存在。它并不是可以马上被修复的东西。在过去的几个月里,我联系了几十家公司和受影响的供应商,作为他们的漏洞赏金计划的一部分,以便使他们的设置得到修复。
本月早些时候,比利时的虫子赏金猎人。 Inti De Ceukelaire披露了一个影响到数百家公司的创造性黑客。该技巧涉及利用有缺陷的 业务逻辑以获得对内部网、社交媒体账户或最常见的Yammer和Slack团队的访问。你可以在 Inti自己的博客文章.我对想出这个漏洞所需的创造力印象深刻,并对其中的过程感到好奇,所以我决定问Inti一些问题,现在我和你分享他的答案。
你好,Inti,你能向我们的读者简单介绍一下自己吗?
我是Inti,Intigriti和Hackerone的错误赏金猎人。我住在Aalst(比利时),每天都在破坏东西。
上周我读了你的博文,关于你后来所称的'车票把戏',我对你找到这个漏洞的创造力印象深刻。你是如何想到要尝试这个技巧的?
我参加了漏洞赏金计划,这意味着某些网站向发现独特漏洞的负责任的安全研究人员提供资金。由于竞争很激烈,你需要不断寻找别人还没有发现的东西。我认为Slack是一个有趣的攻击媒介,因为它经常持有敏感信息,有时只需要一个有效的公司电子邮件。于是我拿起啤酒,躺在沙发上,开始思考所有可能的攻击载体。突然间,我有了这个疯狂的想法--而且事实证明它成功了。我一般会尝试所有进入我脑海中的东西。尽管这只奏效了几次,但却得到了回报;-)
作为一个通常在对面工作的人,试图确保代码的安全,我经常想知道一个pentesting会话是什么样子。 你在哪里工作?这是你在空闲时间在沙发上做的事情吗?还是你坐在办公室里?
白天,我在一家名为Studio Brussel的电台担任数字创意编码员。这涉及到一些编程和一些社交媒体,但没有安全问题。我尽量不把我的爱好和我的专业工作混在一起。我担心如果我这样做,我会失去我的创造力。我不经常黑客:每周最多几个小时。它可以在桌子上,在沙发上或在我的床上--只要在那一刻是舒适的。
你如何开始?你有一个小抄吗?你是否有一些输入来测试是否有足够的输入验证或输出转义?
我真的很混乱,所以我没有一个真正的检查表,我只是用我的直觉。大多数时候,我从一个叫侦察的东西开始:列出所有有趣的目标信息、子域、IP地址,任何我可以找到的东西。在我开始黑客攻击之前,我试图看到更大的画面并理解商业逻辑。如果你只寻找标准的、教科书上的漏洞,你会错过很多更聪明和复杂的缺陷。当涉及到输入时,我试图在一个有效载荷中涵盖尽可能多的漏洞。每当我发现一些有趣的东西时,我就会用它玩上一阵子,往里面扔上很多废话,只是为了看看系统对它的反应。最好的漏洞往往可以在网络应用程序的更远的地方找到,所以我尽量深入挖掘。
你认为怎样才能成为一个好的五角大楼?你有什么诀窍可以与我们分享吗?
我不是一个entester,所以我不能真正代表一般的entester,但我认为动机和毅力是最重要的资产。大多数人甚至不会考虑在谷歌寻找安全漏洞,因为他们有世界上最好的工程师,但他们每年都会支付数百万的bug赏金。我在一个目标上工作了2年多,现在我开始接触到真正有趣的bug。这需要一段时间。普通的entesting的问题是,无论测试人员是否发现关键漏洞,他们都会得到一定的奖励。我相信在Facebook中仍然有很多漏洞,只是需要有人愿意深入挖掘。
当你意识到 "车票把戏 "的规模时,你的第一个想法是什么?
我的心情很复杂。我感到很惊讶,并立即想到我可以用它来收集错误的赏金,但另一方面,我对这种情况的发生感到震惊。每当你发现这样的东西时,你突然拥有了大量的珍贵信息,恶意的一方会非常感兴趣的。披露过程是一个艰难的过程:你需要尽可能多地通知受影响的公司,但另一方面,你需要确保信息不会被泄露或滥用。
为什么你决定在收集更多的赏金之前发布信息?
做正确的事比收集赏金更重要。我认为我有我的公平份额,现在想回馈社会。此外,几个月来我一直在向公司通报这个问题,所以越来越多的人知道这个问题。我不希望它被泄露或被有不良企图的人滥用。
你对受影响公司的回应有何感受?
大多数的回应都是令人满意的。有些公司其实并不关心这个问题,但到了最后,这是他们的损失。作为一个安全研究人员被拒绝是游戏的一部分。至少我没有收到任何诉讼。10年前,情况可能会是这样的。
最后一个问题,在reddit上,我读到你要求8000美元的bug赏金,你有什么很酷的计划来花这些钱吗?
总的来说,我从这个错误中得到了超过20,000美元。其中一半以上用于缴税。我把剩下的钱花在正常的事情上,比如旅行,出去吃饭,......没什么疯狂的。)
非常感谢你的时间,祝你在未来的狩猎中好运!"。
这个错误仍然存在。它并不是可以马上被修复的东西。在过去的几个月里,我联系了几十家公司和受影响的供应商,作为他们的漏洞赏金计划的一部分,以便使他们的设置得到修复。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
