در باگ پارتی؛ جریان باگ بانتی
بارها و بارها راجع به باگ بانتی، خرد جمعی، شکارچیان آسیب پذیری و ... گفتهایم و نوشتهایم. باگ پارتی، رویدادی بود که میشد در آن از نمای نزدیکتر و با جزئیات بیشتر به تماشای آنچه که گفتهایم و نوشتهایم، نشست. باگ بانتی این بار فقط در صفحهی مانیتورها خلاصه نمیشد. بازیگران اصلی باگ بانتی، این بار در باگ پارتی حضور داشتند و این جریان را به شکل دیگری رقم میزدند؛ شکارچیان آسیب پذیری، نمایندگان میدانها (کسبوکارها) و اعضای تیم پلتفرم باگ بانتی. جریانی که تماشایی بود.
آنچه در این بلاگپست خواهید خواند:
انگار در خود باگ بانتی هستید!
اهداف چطور بودند؟
شکارچیان آسیب پذیری در حال شکار
این بلاگپست حاصل کنارهم قراردادن گپوگفتهایی ست که در طول رویداد باگ پارتی با برخی از شکارچیان آسیب پذیری حاضر داشتهایم. در این بلاگپست گفتههایی از شکارچیان آسیب پذیری را خواهید خواند که راجع به روند باگ بانتی، اهداف و آسیب پذیری های شکارشده در باگ پارتی گفتهاند.
گفتههایی از:
آیلین همایونی، هادی پات، حسین محمدیان، ایلیا کشتکار، زهرا، عرفان توکلی، محمدرضا عمرانی، نیما غلامی و مهدی حسینی
انگار در خود ماجرا هستید!
باگ پارتی، نمودی عینی از باگ بانتی ست. در باگ پارتی، گویی در وسط جریان باگ بانتی ایستادهاید.
آیلین همایونی:
در کل جو طوری است که این حس را می دهد که انگار در خود ماجرا هستیم. چون معمولا شغل هایی مثل شغل ما که با کامپیوتر سروکار دارند (چه در محیط خانه یا محل کار) کمی فضای خشکی دارند. من معمولا خودم سعی می کنم در کنارش حس و حالی را ایجاد کنم. اینجا از این نظر، خیلی خوب است.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری؛ آیلین همایونی
هادی پات:
روال عادی در پلتفرم باگ بانتی راورو این گونه است که وقتی یک گزارش آسیب پذیری را ثبت میکنیم، بعدش باید انتظار بکشیم. مثلا یک هفته منتظر بمانیم تا ببینیم که آسیب پذیری تایید میشود یا نه. ولی در باگ پارتی میبینی که داورها بلافاصله پس از ثبت گزارش، شروع به بررسی آن میکنند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ هادی پات
حسین محمدیان:
این خیلی نکتهی مهمی در این رویداد بود. وقتی بهعنوان یک شکارچی آسیب پذیری بهصورت Remote (و دورکار) روی برنامههای باگ بانتی، کار میکنی، متفاوت است. نمیشود ارتباط مستقیمی با داورها داشت. اما در باگ پارتی میشد و واقعا نکتهی خیلی مثبتی بود. مخصوصا خانم سلیمان، خیلی زحمت کشیدند و بسیار حضور موثری داشتند. من هر جایی که سوالی داشتم یا میخواستم با داوران محترم ارتباط داشته باشم، ایشان هماهنگیهای لازم را انجام میداند و زمانی را فراهم میکردند. من میتوانستم از داوران بپرسم که اصلا چیزی که تا اینجا به آن رسیدهام، valid و معتبر است؟ آیا وقت بیشتری به آن اختصاص دهم یا نه؟ این واقعا ارتباط خوب و موثری بود. به شخصه برای من، خیلی نکتهی مثبتی بود.
روندی که اینجا میگذشت، با چیزی که در خانهی خودم و بقیهی بچهها انجام میدهیم، بسیار تفاوت داشت. آن وایبی که در فضای باگ پارتی جریان داشت، خیلی وایب خوب و خفنی بود. مثلا موقعی که خسته میشدی و سرت را روی میز میگذاشتی، وقتی سرت را بالا میآوردی، میدیدی که همه با انرژی زیادی مشغول هستند و دارند سعی میکنند تا آسیب پذیری کشف کنند. واقعا هم انرژی جمع را دریافت میکردی و رویت اثر میگذاشت. اینکه میدیدی که تعداد زیادی آدم دارند دقیقا در همان فیلدی که تو کار میکنی، کار میکنند و زحمت میکشند، حس خوبی داشت. فضا هم واقعا عالی بود؛ هم از لحاظ بستری که برای ارتباط گرفتن وجود داشت، هم ... .
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ حسین محمدیان
ایلیا کشتکار:
ما در باگ پارتی شاهد این بودیم که یک سری از بچه ها از بعضی بخشها، راحتتر گذر کردند. ولی یک نفر دیگر (که میز جلویی ما هم بود) سر همان بخشها ایستاد، دقیقتر چک کرد و یک آسیب پذیری کشف کرد. با سمجبودنش شروع کرد به ارسال یک سری پیلودها که نتیجه داد. به نظرم این خیلی مهم است. در باگ بانتی یک ویژگی اخلاقی کمککننده این است که سمج باشی. با خودت بگویی:" آقا من باید این آسیب پذیری را پیدا کنم." این خیلی مهم است که ناامید نشوی.
پیشنهاد خواندنی: گپوگفتی با دو شکارچی آسیبپذیری؛ ایلیا کشتکار و مهدی حسینی
اهداف چه طور بودند؟
در لیست کسبوکارهایی که سامانههای خود را با هدف کشف آسیب پذیری به باگ پارتی آوردهاند، نام 6 کسبوکار به چشم میخورند. هر کسبوکار، یک یا چندین هدف مشخص کرده بود. اهداف، به نوبت و در طول چند روز رویداد، به لیست اهداف اضافه میشدند. از شکارچیان آسیب پذیری حاضر در باگ پارتی، راجع به اهداف پرسیدیم و پاسخهای آنها را شنیدیم.
زهرا:
اهدافی روز اول، مثل چارگون و اینها، برای ما آشناتر و ملموستر بود. چون برای سامانههای مشابهش تست نفوذ انجام داده بودیم. اما اهداف مربوط به بانک و بیمه خیلی برایمان آشنا نبودند. چون حوزه کاریمان نبودند و تجربهاش را نداشتیم.
عملکرد میدانها و کسبوکارها برای من خیلی جذاب بود. تیم SOC که در پشت صحنهی بعضی کسبوکارها مشغول بودند و خیلی خوب مدیریت میکردند. وقتی یک آسیب پذیری به دستشان میرسید، سریع پچش میکردند. مثلا وقتی امروز، آسیب پذیریای که دیروز وجود داشت را چک میکردی، میدیدی که رفع شده است و دیگر وجود ندارد. احتمالا ترافیک را هم تحت نظر دارند. و مثلا اگر بینند که فلان جا ترافیک زیادی دارد میآید، کارشناسهایشان با تمرکز بیشتری به بررسی آسیب پذیری هایش میپردازند.
در مورد یکی از اهداف، اینگونه بود که کد ملی مدیرعاملش در بین دیتاهای داخل اینترنت، موجود بود و مدیرعامل از کدملیاش بهعنوان رمز عبور حساب کاربریاش استفاده کرده بود. شکارچی آسیب پذیری هم از همین طریق توانسته بود وارد حسابش شود. ما در تست نفوذ سازمانهای دیگر هم، چندین بار شاهد این مورد بودهایم. اکثر کسبوکارهای بزرگ، اطلاعات اعضایشان به راحتی در اینترنت قابل پیدا کردن است. خود سایت رسمیو منبعی برای این کار است. من فکر میکنم لازم است به این نکات خیلی توجه شود. نیاز است سازمانها، آموزش بیشتری در زمینهی رفتارهای امن داشته باشند و برای کارکنانشان هم آگاهیرسانی کنند. افراد باید بدانند که ممکن است چه سوءاستفادههایی از دیتایشان صورت بگیرد و لازم است از دیتایشان مراقبت کنند و رمزعبور مناسبتری انتخاب کنند.
من شاهد این این بودهام که در بسیاری از سایتهای دانشگاهها، سیستم های اتوماسیون اداری و ... افراد از کد ملی، شماره موبایل یا موارد دیگر بهعنوان رمزعبور استفاده میکنند. از آن طرف هم این اطلاعات بهراحتی در اینترنت یافت میشوند. ما با کمک این روش، آسیب پذیری Account Take over هم ثبت کردهایم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ زهرا حسین محمدیان:
در میان اهداف روز اول، هدف اولی که ارائه شد، چارگون بود. من یه مقدار در آن گم شدم. که به خاطر تجربهی خودم و این بود که دانش تستکردن آن نوع از اپلیکیشن را از قبل نداشتم. حتی تسلیم شده بودم و با خودم گفتم که کلا کار نمیکنم. خوشبختانه منتظر ماندم و اهداف بعدی، به نسبت برای من بهتر بودند. به غیر از چارگون، همهی اهداف بعدی خوب و روان بود.
روز دوم، اهداف خیلی بهتر بودند. یکی از اهداف (که انتظار چندانی از آسیبپذیربودنش نداشتیم) اضافه شد و تقریبا 20 دقیقه پس از بازشدن هدف، یکی از شکارچیان آسیب پذیری داخل سالن یک آسیب پذیری در سطح critical (حیاتی) از آن کشف کرد! کشف این آسیب پذیری در زمان کوتاه، انرژی همه را بالا برد و آن پیشفرض و طرزتفکری که شاید چنین سامانهای آسیب پذیر نباشد، را شکست.
اهداف روز سوم هم اوکی بودند. اگر بخواهم بهطور جزئیتر بگویم، واقعا خیلی خوب بودند. واقعا گسترده بودند، نقاط مختلفی برای تست داشتند، میشد تستکیسهای مختلفی را پیاده کرد و ... .
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ حسین محمدیان
عرفان توکلی:
اهداف هم اهداف نسبتا خوبی بودهاند. هر کدام از اهداف بالاوپایینهایی داشت. برخی اهداف خیلی خوب بودند و برخی خیلی ضعیف. یک سری کموکاستیهایی هم داشتهاند. در برخی اهداف، سایت اصلا بالا نمیآمد یا برخی فیچرهایی که داشت، غیرفعال بود و این جور داستانها. خب وقتی سایت بالا نمیآید چطور بررسیاش کنیم؟ چطور تست کنیم؟ یکی از باگها این است که خود سایت اصلا بالا نمیآید که بخواهیم تستش کنیم. ولی خب باز هم برگزاری این رویداد، واقعا پیشرفت خیلی خوبی ست.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ عرفان توکلی
محمدرضا عمرانی:
مواردی وجود داشتند که شرکتکنندگان را تاحدی اذیت میکردند. بعضی اهداف، بالا نبودند یا برای بعضی دسترسیها محدودیت وجود داشت. به عنوان مثال؛ اگر یک هدف بانکی برای بررسی ما شکارچیان آسیب پذیری وجود دارد، خب ما باید برای بعضی بررسیها در آن بانک حساب داشته باشیم. اگر در آن بانک حساب نداشته باشیم، یک سری تستها را از دست میدهیم. فرایند افتتاح حساب و احراز هویت هم معمولا چند ساعتی زمان میبرد و اینگونه ما در چنین رویدادی، زمان زیادی را از دست میدهیم. البته متوجهم که چون رویداد حضوری است، مشکلات زیادی هم ممکن است به وجود بیاید، که طبیعی است.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمدرضا عمرانی
شکارچیان آسیب پذیری در حال شکار
چشمان 70 شکارچی آسیب پذیری، متمرکز بر سامانهی کسبوکارها بودند. خرد جمعی و تنوع شکارچیان آسیب پذیری، که از مزیتهای باگ بانتی شمرده میشوند، به وضوح مشاهده میشدند. هر شکارچی، به سراغ بخشی از سامانه میرفت. او از دیدگاه خود، که برخاسته از تجربیاتش بود، به سامانه مینگریست و به روش خود به دنبال شکار میگشت. از برخی شکارچیان آسیب پذیری، کمی بیشتر راجع به آسیب پذیری هایی که کشف کرده بودند، پرسیدیم.
نیما غلامی:
یک گزارش از آسیب پذیری Sroted xss ثبت کردهام. این آسیب پذیری در قسمت آپلود فایل بوده، که از طریق آپلود فایل PDF میتوانستم آسیب پذیری Stored xss را کشف کنم . گزارشم دو ساعتی ست که در دست بررسی است. آسیب پذیری موردعلاقهام هم XSS است. به همین خاطر در باگ پارتی هم، اول همین آسیب پذیری را بررسی کردهام.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ نیما غلامی
آیلین همایونی:
من معمولا علاقه ندارم که که مطابق یک سیر مشخص در تست نفوذ جلو بروم و خودم را در یک قالب در نظر بگیرم. چون ذهنم تک بعدی میشود. خیلی هم علاقه دارم که از بیرون اطلاعات جمع کنم.
شرایط این طور بود که ما اکانت نداشتیم. با خودم گفتم خب ما اکانت لازم داریم. چه کار میتوانم بکنم؟ در ایران اوضاع جوری است که که میتوان دیتا پیدا کرد. من هم این را میدانستم و توانستم دیتایی مرتبط با اعضای آن کسبوکار را پیدا کنم که به کارم آمد و جواب داد. بالاخره از هر اطلاعاتی میشود استفادههایی کرد. بعدش که سیر را مرور میکردم، خودم هم لذت میبردم. البته قبلا هم تجربههای مشابهی داشتهام که توانستهام دیتای مربوط به اعضای کسبوکار را به راحتی در اینترنت پیدا و از آن استفاده کنم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری؛ آیلین همایونی
هادی پات:
من وقت زیادی برای بررسی هدف، گذاشتم. سعی کردم بر اساس عملکردی که دارد، بررویش کار کنم. براساس تجربهام و کارهای قبلیام؛ وقتم را روی مواردی گذاشتم که احتمال بیشتری میدادم که آسیب پذیر باشند. به همین دلیل، امید زیادی دارم که آسیب پذیریهایی که گزارش کردهام، تایید و پذیرفته شوند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ هادی پات
ایلیا کشتکار و مهدی حسینی:
ما تا الان 3 گزارش آسیب پذیری ثبت کردهایم. با هم روی این آسیب پذیری ها کار کردیم. منتظر هستیم تا سه آسیب پذیری دیگری که باهم کار کردیم، هم تایید شوند. یکی از آنها SMS Bombing و یکی دیگر Information Disclosure بود. دو مورد دیگر هم بود که الان دقیق خاطرم نیست.
پیشنهاد خواندنی: گپوگفتی با دو شکارچی آسیبپذیری؛ ایلیا کشتکار و مهدی حسینی
سخن آخر:
در باگ پارتی، این باگ بانتی بود که جریان داشت. جریانی که میان شکارچیان آسیب پذیری، اهداف، کسبوکارها و پلتفرم باگ بانتی، اتفاق میافتاد. هر چه بود، باگ بانتی بود، منتها این بار، کمی زندهتر.
بلاگپستهای مرتبط:
در باگ پارتی؛ شبکهسازی، یادگیری و پویایی