Bonjour de l'autre côté. Entretien avec un chasseur de bugs.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
%20(1).avif)
.avif)
