در باگ پارتی؛ گزارشهای آسیبپذیری
شکارچیان آسیب پذیری در رویداد باگ پارتی در دهکدهی علم و فناوری گرد هم آمده بودند، تا به شکار آسیب پذیریهای کسبوکارها بپردازند. همگی در تکاپوی شکار بودند. هر یک به روش خود، به سراغ نقاط مختلف اهداف میرفتند و از منظر خود به بررسی میپرداختند. نمایشگر بزرگ داخل سالن، روایتگر آمار، ارقام و برخی جزئیات گزارشهای آسیبپذیری ثبتشده بود.
آنچه در این بلاگپست خواهید خواند:
خبر! یک گزارش آسیب پذیری جدید ثبت شد
نمایشگر آمار و ارقام
شکارچیان آسیب پذیری و آسیب پذیری های شکارشده
این بلاگپست حاصل کنارهم قراردادن گپوگفتهایی ست که در طول رویداد باگ پارتی با برخی از شکارچیان آسیب پذیری حاضر داشتهایم. در این بلاگپست گفتههایی از شکارچیان آسیب پذیری را خواهید خواند که راجع به گزارشهای آسیب پذیری در باگ پارتی گفتهاند. گفتههایی از: بهراد رضایی، آیلین همایونی، عرفان توکلی، مهدی غلامی، حسین محمدیان، ایلیا کشتکار، مهدی حسینی، محمد دلاور، مجید موسوی، هادی پات، محمدرضا عمرانی، نیما غلامی و امید شجاعی
خبر! یک گزارش آسیب پذیری جدید ثبت شد
همزمان با ثبت هر گزارش آسیب پذیری، صدایی در سالن رویداد پخش میشود. صدایی که خبر از ثبت گزارش جدیدی میدهد. در نمایشگر داخل سالن نیز جزئیات غیرمحرمانهی گزارش قابلمشاهده است؛ نام شکارچی، هدف مربوطه و ... . ما از شکارچیان آسیب پذیری پرسیدیم: "صدایی که در زمان ثبت گزارش آسیب پذیری در سالن پخش میشود، برای شما چه حسی را به همراه دارد؟". پاسخهای متفاوتی را شنیدیم که شباهتهایی نیز در میانشان دیده میشد.
بهراد رضایی:
خب این صدا نشان میدهد که یکی از شکارچیان آسیب پذیری که در باگ پارتی حضور دارد، یک گزارش آسیب پذیری ارسال کرده است. استرس خالص است! با این صدا این استرس به سراغم میآید که نکند گزارشی که الان ثبت شد، مشابه گزارش آسیب پذیری ای که من فرستاده بودم باشد! نکند دیگران اکسپلویتش کردهاند! چون گزارش آسیب پذیری ای که من فرستاده بودم برای تمام افرادی که اینجا بودند، واضح شده است. از طرفی دیگر، خوشحال میشوم. با خودم می گویم:" ای ول! این سایت هنوز آسیب پذیری هایی دارد! شکارچیان آسیب پذیری هنوز مشغول کار برروی آن هستند و آسیب پذیری هایی را کشف میکنند. هنوز جای امیدواری هست. "
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ بهراد رضایی
آیلین همایونی:
هیجانی که وجود دارد، هم به فرد انگیزه میدهد و هم استرس و اضطراب.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری؛ آیلین همایونی
عرفان توکلی:
حقیقتا ثبت گزارش آسیب پذیری توسط دیگران، خیلی برایم مهم نیست. ترجیح میدهم سعی کنم در رقابت، بهترینِ خودم باشم. نه اینکه به دنبال این باشم که بقیه چه کردهاند. من اهل اینکه با خودم بگویم "وای، فلانی گزارش ثبت کرد" و روحیهام ضعیف شود، نیستم. روی خودم کار میکنم. بعدش میروم و نگاه میکنم که داستان از چه قرار است؟
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ عرفان توکلی
مهدی غلامی:
"آخ داپلیکیت بخورد، بخندیم. :)" دقیقا همین حس را پس از شنیدن صدای ثبت گزارش آسیب پذیری توسط دیگران دارم. مانیتور بزرگ داخل سالن رادنبال نمیکنم. همان صدای ثبت گزارش که میآید، در پشت سیستم خودم، سری به صفحهی گزارشها میزنم و نگاهی به آن میاندازم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ مهدی غلامی
حسین محمدیان:
اگر بخواهم صادق باشم، در روز اول صدای دینگ اعتمادبهنفسم را به زیر صفر میآورد. چون همانطور که قبلتر گفتم، روز اول روز خوبی برای من نبود و کار روی هدف روز اول، برایم خوب پیش نرفت. و در همان احوال، گاهی در یک بازهی زمانی خیلی کوتاه، چندین بار این صدای دینگ میآمد! ولی از وقتی که خودم هم یک گزارش آسیب پذیری ثبت کردم (حتی اگر در ادامه valid هم محسوب نمیشد) وقتی آن صدای ثبت گزارش میآمد، واقعا انرژیام را دو برابر میکرد. فکر میکنم آن صدا، خیلی چیز خفن و باحالی بود.
تابلوی امتیاز را هم نگاه میکردم، درواقع وقتی صدای "دینگ" ثبت گزارش میآمد، روی تابلوی امتیازات دقیق میشدم تا ببینم چه کسی آسیب پذیری کشف کرده است.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ حسین محمدیان
ایلیا کشتکار:
این صدا خیلی خوب است. خیلی خوب است.
مهدی حسینی:
خوب است؟ نه بابا. استرس دارد. این صدا که میآید، آدم با خودش میگوید:" ای بابا! دارد دیر میشود! آسیب پذیری های قبلی دارند ثبت میشوند. باید عجله کنیم که زودتر آسیب پذیری ها را کشف و گزارش کنیم، تا نفر اول باشیم و گزارشهایمان تکراری محسوب نشود."
پیشنهاد خواندنی: گپوگفتی با دو شکارچی آسیبپذیری؛ ایلیا کشتکار و مهدی حسینی
نمایشگر آمار و ارقام
به دنبال پرسش قبل، از شکارچیان آسیب پذیری پرسیدیم: "آیا آمار ثبت گزارشهای آسیب پذیری را از روی نمایشگر دنبال میکنید؟".
محمد دلاور:
در این جا میبینیم که شکارچیان آسیب پذیری و پژوهشگرهای امنیتی آسیب پذیری ها را شناسایی و ثبت میکنند. این فضا، حس حضور در یک کامیونیتی پویا و رقابتی را دارد که فوقالعاده انگیزهبخش است. تا این لحظه در رویداد، حدود 600 میلیون تومان بانتی به گزارش های آسیب پذیری اختصاص داده شده است که برای یک رویداد محلی عدد چشمگیری است. عملکرد افرادی که در قالب تیم فعالیت میکنند، واقعاً قابلتحسین است؛ ترکیب مهارتهای مختلف در یک تیم، خروجی را به سطحی میرساند که شکار به تنهایی (Solo Hunting ) بهندرت میتواند به آن برسد.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمد دلاور
مجید موسوی:
گزارشهای مختلفی روی مانیتور نمایش داده میشدند، بهخوبی نشاندهندهی فعالیت مداوم هکرها و شکارچیان آسیب پذیری بود.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با مجید موسوی
محمدرضا عمرانی:
به نظر من تا الان، شکارچیان آسیب پذیری و هکرهای حاضر در رویداد باگ پارتی، آسیب پذیری های قابلتوجهی پیدا کردهاند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمدرضا عمرانی
هادی پات:
این که شاهد این بودیم که شکارچیان مختلف، آسیب پذیری های مختلفی کشف میکنند، خوشحالکننده بود. در برخی موارد یادگیرنده هم بود. مثلا شاید اولین باری باشد که من عنوان آسیب پذیری ای که یک فرد کشف کرده، را بشنوم.
در مواقعی که بعضی ازشکارچیان آسیب پذیری، آسیب پذیری های خیلی خفنی کشف میکنند و این مورد در سالن اعلام میشود، هم جو جذابی در سالن شکل میگیرد. هیجان همه بالا میرود. همه سعی میکنند خودشان هم آسیب پذیریای پیدا کنند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ هادی پات
شکارچیان آسیب پذیری و آسیب پذیری های شکارشده
در باگ پارتی، شکارچیان آسیب پذیری مشغول به شکار بودند. خرد جمعی و تنوع شکارچیان آسیب پذیری، که از مزیتهای باگ بانتی میشماریم، به وضوح قابلمشاهده بود. هر شکارچی، به سراغ بخشی از سامانه میرفت. او از دیدگاه خود، که برخاسته از تجربیاتش بود، به سامانه مینگریست و به روش خود به دنبال شکار میگشت. از برخی شکارچیان آسیب پذیری، کمی بیشتر راجع به آسیب پذیری هایی که کشف کرده بودند، پرسیدیم.
بهراد رضایی:
باگی که پیدا کردم آسیب پذیری XSS Sroted بود. متاسفانه به دلیل این که ماجرای کشفش تقریبا به صورت فازمانند بوده، هنوز به طور دقیق مشخص نیست که کدام یک از اسکریپتها اجرا شده است. ما یک لیست از اسکریپتهای مختلف که در طول دو سال جمعآوری کرده بودیم، داشتیم. تمام آن اسکریپتها را همزمان با همدیگر ارسال کرده بودیم. به احتمال زیاد bypass اسکریپتهای قبلی باعث شده که اسکریپتهای بعدی از چرخهی کنترل خارج و اجرا شوند. حالا باید تست کنیم تا ببینیم کدام بوده است. به دلیل این که هنوز این آسیب پذیری رفع نشده است، نمیتوانم اسم وبسایت را بگویم. این آسیب پذیری از این قرار است که کاربرانی که از این صفحه بازدید میکنند، به طور خودکار این اسکریپت برایشان اجرا میشود. سطح خطر آسیب پذیری تقریبا مدیوم رو به پایین محسوب میشود. البته اگر که اکسپلویت شود... اکسپلویتهایی که می شود با این آسیب پذیری انجام داد، شامل Account Takeover، حملات فیشینگ و احتمالا ایجاد اختلال در سرویس میشود.
لحظهی کشف این آسیب پذیری، حس و حال خیلی خوبی داشت به حدی که حتی من دیگر کلا دست از تستزدن برداشتم و فقط به مانیتور اینجا خیره شده بودم تا ببینم که نتیجهی داوری چه میشود. خیلی مشتاق بودم که تایید شود. ولی متاسفانه قبول نشد و گفتند که باید روی اکسپلویتش کار کنیم. یک مقدار حالم بد شد. ولی خب الان با دوستانی که اینجا پیدا کردهایم، داریم روی اکسپلویتش کار میکنیم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ بهراد رضایی
نیما غلامی:
یک گزارش از آسیب پذیری Sroted xss ثبت کردهام. این آسیب پذیری در قسمت آپلود فایل بوده، که از طریق آپلود فایل PDF میتوانستم آسیب پذیری Stored xss را کشف کنم . گزارشم دو ساعتی ست که در دست بررسی است. آسیب پذیری موردعلاقهام هم XSS است. به همین خاطر در باگ پارتی هم، اول همین آسیب پذیری را بررسی کردهام.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ نیما غلامی
امید شجاعی:
من دومین آسیب پذیری را ثبت کردهام ولی متاسفانه اصلا جزو اسکوپ آسیب پذیری های میدان نبود. آسیب پذیری Stored XSS بود، ولی خب کلا XSS را قبول نمیکردند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ امید شجاعی
آیلین همایونی:
من معمولا علاقه ندارم که که مطابق یک سیر مشخص در تست نفوذ جلو بروم و خودم را در یک قالب در نظر بگیرم. چون ذهنم تک بعدی میشود. خیلی هم علاقه دارم که از بیرون اطلاعات جمع کنم.
شرایط این طور بود که ما اکانت نداشتیم. با خودم گفتم خب ما اکانت لازم داریم. چه کار میتوانم بکنم؟ در ایران اوضاع جوری است که که میتوان دیتا پیدا کرد. من هم این را میدانستم و توانستم دیتایی مرتبط با اعضای آن کسبوکار را پیدا کنم که به کارم آمد و جواب داد. بالاخره از هر اطلاعاتی میشود استفادههایی کرد. بعدش که سیر را مرور میکردم، خودم هم لذت میبردم. البته قبلا هم تجربههای مشابهی داشتهام که توانستهام دیتای مربوط به اعضای کسبوکار را به راحتی در اینترنت پیدا و از آن استفاده کنم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری؛ آیلین همایونی
عرفان توکلی:
اکثر گزارش آسیب پذیریهایی که ثبت کردهام، به قول معروف low Hangign Fruits (میوههای دمدستی) هستند؛ آنچنان عمیق نیستند. از آن جنس آسیب پذیری هایی که در اثر غفلت تیم امنیتی یا برنامه نویس بودهاند. دو، سه آسیب پذیری هم از این جنس بودهاند که عمیقتر شدیم و توانستیم کشف و گزارششان کنیم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ عرفان توکلی
مجید موسوی:
بله، روی چند هدف کار کردم و توانستم آسیبپذیریهایی را پیدا کنم. گزارشش را هم ثبت کردم، ولی به دلیل قوانین خاص هدف، رد شد. با این حال، برای من تجربهی ارزشمندی بود، چون متوجه شدم که شاید در باگ بانتی هم بتوانم موفق شوم.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با مجید موسوی
هادی پات:
من وقت زیادی برای بررسی هدف، گذاشتم. سعی کردم بر اساس عملکردی که دارد، بررویش کار کنم. براساس تجربهام و کارهای قبلیام؛ وقتم را روی مواردی گذاشتم که احتمال بیشتری میدادم که آسیب پذیر باشند. به همین دلیل، امید زیادی دارم که آسیب پذیریهایی که گزارش کردهام، تایید و پذیرفته شوند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ هادی پات
ایلیا کشتکار و مهدی حسینی:
ما تا الان 3 گزارش آسیب پذیری ثبت کردهایم. با هم روی این آسیب پذیری ها کار کردیم. منتظر هستیم تا سه آسیب پذیری دیگری که باهم کار کردیم، هم تایید شوند. یکی از آنها SMS Bombing و یکی دیگر Information Disclosure بود. دو مورد دیگر هم بود که الان دقیق خاطرم نیست.
پیشنهاد خواندنی: گپوگفتی با دو شکارچی آسیبپذیری؛ ایلیا کشتکار و مهدی حسینی
سخن آخر:
این گزارشهای آسیبپذیری بودند که پویایی را در رویداد باگپارتی به تصویر میکشیدند. شکارچیان آسیب پذیری گزارش را برای تیم داوری و کسبوکار ارسال میکردند. در سوی دیگر، این داوران پلتفرم باگ بانتی راورو بودند که سعی داشتند به بررسی گزارشهای آسیب پذیری دریافتشده بپردازند و هرچه سریعتر برای رسیدن گزارش به دست میدان، اقدام کنند.
بلاگپستهای مرتبط: