没钱谈挖漏洞有毛用?记我初次参与漏洞赏金项目赚大钱

作者:小黑一米八 分类: 信息安全 发布于:2018-5-14 23:13 ė591次浏览 60条评论

漏洞赏金项目(Bug Bounty Programs)是一项非常奇妙有意思的事情,此文主要目的在于激励安全研究人员、黑客和一些兴趣人士积极加入到漏洞赏金项目中来,这里我不谈具体技术,只分享我一点点挖洞经验和感受,希望勾起你对漏洞赏金项目的一丝丝兴趣。在我初次参与到漏洞赏金项目的过程中,我就发现了10个漏洞,赚取了$19800美金,且听我慢慢说来。
什么是漏洞众测项目
漏洞赏金项目(Bug Bounty Programs)是以一种负责任的方式,向软件或系统供应商、开发商或使用商上报安全漏洞。对漏洞涉及主体来说,这是一种积极的安全防护方式,对白帽黑客来说,也能实现赚钱目的,而且还有机会被列入漏洞名人榜。对安全两方来说,这无疑是一种双赢方法。
像Facebook、Google或Microsoft等大公司都设立了自己的漏洞赏金项目,而且,很多知名企业厂商也在流行的第三方众测平台中开设赏金项目接收漏洞。这些流行众测平台包括HackerOne、Bugcrowd等,这种按照提交漏洞等级,给予相应赏金的漏洞上报模式,可以有效避免某些漏洞被转售利用或扩散,对漏洞涉及公司厂商造成直接安全威胁,所以本质上来说,这是对某些安全产品或系统的一种积极特定的安全防护方式。
漏洞赏金项目选择标准
我曾在HackerOne上一些赏金项目公开的漏洞中经常看到,有人上报了一个简单的XSS漏洞后只赚了几块钱,每每此时,我都会心生感慨:如果是我,会不会也这样?所以,为了证明自己,我决定撸起袖子好好参与一回漏洞赏金项目玩玩。
在选择漏洞赏金项目初期,我遵循以下几个标准:
项目必须明确清晰的测试规则和测试范围;
漏洞提交后厂商必须具备良好的响应效率;
项目具有良好的赏金支付水平;
项目针对可访问的东西,必须具备清晰的范围界定;
最后,当然还得比较有趣,有意思。
选择漏洞提交厂商
由于我一直在研究嵌入式安全,也就是IoT攻防那一套,因此我筛选到了一家适合我专业方向的厂商Ubiquiti Networks(UBNT,中文叫优倍快网络公司),它家的漏洞众测项目中具备明确的规则、清晰的测试范围和不错的赏金支付水平,并且也非常看重固件漏洞。虽然HackerOne上还有另外一家赏金可观的厂商,但我选择Ubiquiti Networks的目的在于,它的赏金支付水平和效率相对较高,只要漏洞一经确认,就会很快兑现赏金,不像其它厂商那样拖拖拉拉要等补丁修复才会支付赏金。
选择漏洞测试目标
接下来我要做的就是选择漏洞测试目标,经过一番研究和与朋友的讨论之后,我决定在线购买一个UBNT生产的EdgeRouter X多功能路由器来作为测试目标,该路由器连着快递费共花了我100美金左右,我想,只要我能发现它的一个简单XSS漏洞,或许就能挣150美金,也算赚的了吧…

我5月30号在线下单这个路由器,两周后的6月14号才收到。
漏洞挖掘测试


在此,像文章开头那样,我再次重申一下,本文我不谈详细的挖洞技术,只分享我参与该漏洞测试项目的一些经验观点,以激发那些想参与类似项目的有志朋友,积极投身漏洞众测项目中来,早日赚钱成为高帅富迎娶白富美,哎,又扯远了….。
闲话少说,在我收到路由器的那天,我就一直工作到晚上9点才下班,回家之后,我想在电脑上配置路由器查看它的WEB接口,看看其网页管理方面可能存在的一些漏洞。
在经过对其HTTP消息的分析之后,我发现了一个存在于只读配置用户(如普通操作用户operator)中,能像root身份一样执行设备命令的漏洞。我研究该路由器设备的刚开始,就发现了该漏洞,这完全令我出乎意料。由于该漏洞需要在只读配置账户下才能成功被利用,所以我觉得其漏洞价值应该不会太大。因此,我觉得它仅只是一个简单的提权漏洞,还不是真正意义上的远程代码执行漏洞(RCE)。
编写漏洞报告
这有一点重要提示:你必须尽可能地把漏洞描述清楚明白,因为这会直接影响到厂商的回应速度,以及最终的赏金奖励。
漏洞报告的主要目的在于,具体地描述漏洞产生的细节,写清楚漏洞带来的影响威胁,有助于厂商进行漏洞再现测试,一旦厂商分析师或安全专家看到这种详细的漏洞报告后,他们就能明白漏洞存在的大概原由,并能再现分析漏洞。所以良好的漏洞报告,从某种意义上来说,会提高厂商漏洞分类筛选和赏金发放效率。
重要的是,还须在其中解释清楚漏洞可被复现,可能的话,你可以重置应用(回到原始安装状态),记录下复现漏洞的每个步骤。对于嵌入式设备来说,须在报告中注明所测试中用到的硬件和内置固件版本。
就比如,我报告的一个漏洞,它的利用条件仅限在WEB接口的初次认证条件下才行,但在漏洞报告中我却忽略了这一细节,所以导致后来我与厂商之间进行了多次沟通,才把该漏洞说清楚,形成双方对漏洞复现的统一共识。
继续….,在一个周四的晚上,我详细地编写了漏洞报告,尽量把每一步都说的清清楚楚,之后通过HackerOne平台发送给了厂商。
初次赏金
第二天早上一醒来,我象往常一样用手机检查我的邮箱回信,突然我看到了两封来自HackerOne的邮件,我本能的反应是,难道我在漏洞报告中缺失了哪个步骤,忘记了什么东西?还是该漏洞已经有人上报了?哦…,那分钟的忐忑不安简直了。
经过查看,我非常高兴,第一封邮件为漏洞分类相关内容,表明该漏洞已经被厂商确认生效了。
我已经很满意了,想着这种漏洞应该会在250美金左右吧。当我打开第二封邮件时,其中竟然为赏金确认内容,它的意思是该漏洞赏金已经确定待支付。哦,太好了,在我上报漏洞后不到半天,漏洞就已经确认并确定了赏金。但更让我高兴的是,这不是250美金,这是1500美金!比我想像的要多得多,足够可以买15个路由器了。

本文出自 MA2安全网,转载时请注明出处及相应链接。

发表评论

电子邮件地址不会被公开。必填项已用*标注


Ɣ回顶部