Что такое Bug Bounty? Легальный заработок для хакеров
Ответ на вопрос: «Можно ли легально зарабатывать на хакинге?»
Всем салют, дорогие друзья!
В этой статье я расскажу вам о том, сколько получают белые хакеры, которые участвуют в Bug Bounty программах. В целом, мы посмотрим, какие уязвимости репортят пользователи и сколько готовы платить за это компании. Для того чтобы показать максимально интересно, рассмотрим на примере отчетов найденных уязвимостей.
Присаживайтесь поудобней, сегодня будет очень много интересного контента.
Введение
Bug Bounty — это программа, в рамках которой пользователь может найти уязвимость, а заказчик заплатит за нее. Простыми словами, владелец сайта говорит вот сайт, за каждую найденную уязвимость плачу 500 долларов.
Конечно, существуют разные виды Bug Bounty программ, разные условия и оплата. Но нам вся эта информация не совсем интересна, так как, если вы станете на этот путь, то всегда сможете прочитать условия конкретной Bug Bounty. Могу сказать, что это очень важно, потому что бывают не совсем точные моменты, и из-за неправильной формулировки могут отказать в выплате. Да и не совсем приятно, если вы тестируете поддомен сайта, находите там уязвимость, а этот ресурс вне скоупа. Поэтому очень важно читать все условия.
Сколько платят?
Конечно, всем интересно о деньгах. Поэтому мы решили посмотреть суммы, которые выплачивают хакерам за найденные уязвимости. Если вам интересно следить за хронологией, можно подписать на этот аккаунт в Твиттере. Здесь можно посмотреть за ошибками и выплатами, по платформе HackerOne. Это достаточно известная площадка, клиентами которой являются Mail.ru, PayPal, Министерство Обороны США, Qiwi, Vimeo и другие.
Итак, идем дальше и проанализируем выплаты на самой площадке. Для этого переходим на сайт Hackerone и в раздел Hacktivity. Здесь отображаются последние выплаты за найденные уязвимости. Те, что отображаются серыми полосами, являются не публичными. Отчеты, размер выплаты и другие условия по таким программам не отображаются. Давайте разберем, что есть с публичного доступа.
Для более детального анализа я сделал выборку по последним отчетам, которые вы видите на скрины выше. Это поможет понять общую картину. Основная цель — посмотреть, какая средняя выплата и тип уязвимости. Средний чек получился 2.507 доллара.
Full Path Disclosure за $50
Меня интересовал минимальный порог входа. На площадке существует минимальная выплата — 50 долларов. Давайте посмотрим, за что можно получить эти деньги, и какие уязвимости нужно найти. Первая уязвимость, которая попала в глаза, это Full Path Disclosure.
Знание полного пути, где располагается сайт - не совсем уязвимость, тем не менее, данная информация будет очень нужна при загрузке веб-шелла, например, через SQL-Injection.
Вот пример запроса, который приводил к появлению подробной информации:
Web Cache Deception и XSS за $200
Основная часть найденных уязвимостей на сайтах — XSS. В зависимости от сложности выплаты составляют от $100 и до $1500. Последняя планка выплачивается за сохраненные XSS. Давайте рассмотрим конкретный случай. Реализация атаки заключается в том, чтобы с помощью скрипта заразить кэш запросом, с нужными заголовками. Потом страница обновляется несколько раз, а ответ остается уже с XSS.
SQL Injection за $300
Вот такую уязвимость нашел один из пользователей в сервисе Qiwi. Данная ошибка возможна при восстановлении пароля. Пользователь детально описал эксплуатацию, как можно было реализовать данную уязвимость.
Как видно payload подставлялся в POST запрос на сброс пароля, и получаем обычную SQL-инъекцию.
После выполнения запроса, бекенд генерирует ошибку и отдает нам информацию, которая была запрошена, а именно версия СУБД.
SMS/Call spamming за $500
Пользователь нашел уязвимость, при которой отсутствовала проверка номера, при регистрации в Android Rider (Uber). Таким образом, можно было вводить разные номера и на телефон приходили бы текстовые сообщения, а также вызовы с просьбой подтвердить регистрацию.
Обход двухфакторной авторизации за $10000
Есть и такие примеры. Пользователь смог обойти двухфакторную авторизацию, а также внутренние лимиты системы (риск 5.0). Дальше в ходе анализа была найдена еще одна уязвимость, которая была уже серьезней - с риском 7.1. За первую уязвимость хакер получил 2500 долларов. И за вторую 7500 долларов. В итоге, финальная котлета хакера составила 10 000 долларов.
Заключение
Среди разобранных отчетов, есть несложные уязвимости, которые достаточно быстро и просто найти. Для этого есть утилиты, а также нужные инструменты. Если смотреть в эту сторону, то можно зарабатывать и на поиске уязвимостей, участвуя в программах BugBounty. Конечно, найдя хорошую уязвимость и получив шелл, можно заработать куда больше. Всегда есть выбор: работать в «в белую» или «в черную».
На сегодня это все. Желаем удачной охоты!
