Статья Пентест: классика и "багбаунти"

Пентест: классический и «багбаунти»


Одним из наиболее стремительно развивающихся в последние годы направлений услуг в сфере ИБ является, что и неудивительно, тестирование на проникновение. Это обусловлено общей тенденцией мирового сообщества к тотальной цифровизации всей жизнедеятельности. Соответственно, чем больше становится электронных услуг, девайсов и приложений – тем больше в них потенциальных уязвимостей и угроз. Это эволюционный процесс, предпосылок к сворачиванию которого сейчас объективно не имеется. Скорее, будет наблюдаться глобальная тенденция к проникновению «цифры» во все сферы жизнедеятельности человека, от «Интернета вещей» до образовательного процесса даже в начальных классах.

1605777687722.png


Типовое оборудование имеет типовые уязвимости, это же касается и типового программного обеспечения. Тут, видимо, следует принимать во внимание два основных фактора: собственная криворукость создателя ПО и системные баги приложений и библиотек для создания ПО. По «личной криворукости» всё понятно – если человек в принципе весьма далёк от понимания ИБ как сущности, в создании кода он не станет придерживаться даже минимальных процедур и рекомендаций, потому что не знает о них. Ну и поэтому конечно же оставит изрядное количество классических дыр и уязвимостей. По второму фактору – для создания веб-ресурсов и веб-приложений используются вполне конкретные инструменты, список которых отнюдь не бесконечный. Можно сказать, что основных инструментов (сред разработки) для веба всего 4-5. Соответственно, каждый из таких инструментов уже разобран до последнего винтика людьми, проявляющими интерес к ИБ. Поэтому те баги, которые оставляют такие инструменты, тоже хорошо известны. Их можно устранить только путем внедрения соответствующих ограничений и политик непосредственно в коде (к примеру – запрет на использование определенных символов при любом вводе информации). Таким образом, для того, чтобы не «наступить на грабли», нужно знать все без исключения такие системные баги не только создаваемого ПО, но и применяемых при его создании инструментов.

Очень многие (да почти все!) компании, которые специализируются на создании веб-ресурсов и веб-приложений, да и вообще любых приложений, у которых имеется веб-интерфейс с минимальным функционалом, в последние 2-3 года стали уделять самое пристальное внимание тестированию на проникновение перед релизом очередного продукта. Некоторые компании всё ещё склоняются к онлайн-тестированию самого кода, некоторые закупают специализированное ПО для статического и динамического анализа кода приложений, однако всё больше и больше компаний склоняется к привлечению команд пентестеров для непосредственной «боевой» проверки созданного ими программного продукта.

Пентестер не может гарантировать заказчику 100-процентную безопасность проверенного им веб-приложения или веб-ресурса. Помимо использования стандартных методик и наборов (таких как OWASP TOP-10 и другие), каждый пентестер использует свои собственные «фишки» и опыт, полученный в ходе тестирования предыдущих приложений и ресурсов. Разумеется, базовые уязвимости, например SQL и XSS, не останутся без внимания в любом случае. Однако все мы понимаем, что ЛЮБАЯ СИСТЕМА МОЖЕТ БЫТЬ ВЗЛОМАНА. Открытым остается только вопрос о количестве времени и ресурсов, которые будут затрачены на такой взлом. Плюс вопрос человеческого фактора, когда «дырявый админ» ресурса будет именно тем самым слабым звеном, при наличии которого не спасешься никакими пентестами. Поэтому основная задача пентестера состоит в том, чтобы довести проверяемый им ресурс до такого уровня безопасности, когда его взлом станет экономически нецелесообразным.

Классический пентест включает в себя использование методов OSINT, нескольких видов сканеров, сопоставление результатов, планирование векторов атак, прохождение всего перечня уязвимостей согласно принятой методологии, а также предоставление детализированного отчета.

Помимо классики, отдельным большим направлением является пентест по принципу «багбаунти» - то есть тестирование, оплата за которое производится при обнаружении существенной уязвимости, сведения о которой оцениваются владельцем соответствующего ресурса. Что характерно, основными игроками на рынке «багбаунти» являются именно те компании, которые можно охарактеризовать как технологических гигантов – это Apple, Google, Eset и другие. Такие компании в официальной политике прямо призывают всё мировое сообщество тестировать и тестировать не покладая рук все без исключения свои продукты, доступные на рынке, и сообщать об обнаруженных багах владельцу – то есть корпорации. При выявлении определенного бага лицу, его обнаружившему, выплачивается вознаграждение. Сумма варьируется в зависимости от степени критичности. Эта передовая практика является мощным инструментом, который позволяет, во-первых, максимально обезопасить собственные значимые для общества продукты, во-вторых, не привлекая в штат компании большое число сотрудников-пентестеров фактически получить доступ к лучшим «мозгам» из этой сферы.

Сейчас в мире имеется ряд онлайн-ресурсов, которые привлекают пентестеров для совместной скоординированной работы по направлению багбаунти. Это общеизвестные HackerOne или BugCrowd и многие другие.

Вместе с тем, данные платформы характеризуются достаточно серьезным порогом вхождения. Начинающим пентестерам, а также пентестерам «средней руки» делать там нечего, поскольку они не выдержат конкуренции от тех «динозавров пентеста», которые там регулярно пасутся и, по сути, выгребают весь ресурс денежных вознаграждений.

Для трезвой оценки собственных сил и возможностей представляется целесообразным пробовать регистрацию на Платформах поменьше, которые работают по тому же принципу, однако не дают, разумеется, таких же больших вознаграждений за обнаруженные баги.

Одной из таких Платформ для талантливых ребят, вся вина которых заключается только в том, что они не родились на 15-20 лет раньше и не успели занять лидирующие позиции на HackerOne и BugCrowd, является Платформа «БагБаунтиБай» ( ). В октябре 2020 года состоялся релиз бета-версии данной Платформы.

Эта площадка позволяет владельцам веб-ресурсов и веб-приложений сэкономить колоссальные деньги на производство пентеста в его стандартном виде, а также сэкономить время на поиски удобных кандидатур и согласование договоров.

В бета-версии Платформы прямая монетизация не предусмотрена. Целями бета-версии являются: обкатка самой Платформы и устранение выявляемых ошибок логики и неудобств для пользователей; определение круга наиболее талантливых молодых пентестеров для формирования своего сообщества; наглядная демонстрация «среднего скилла» для заказчиков. Поэтому на этапе бета-версии работа ведется за баллы репутации. Три репутационные группы на Платформе (1-100, 101-500, 500+) обладают совершенно разными возможностями и полномочиями. Исполнители с рейтингом 500+ получают доступ к самым интересным Заказам в первую очередь, а Заказчики с рейтингом 500+ могут не только самостоятельно назначать приглянувшегося им в процессе работы Исполнителя, но и право на размещение своей формы Отчета для заполнения.

Каждый зарегистрировавшийся на стадии бета-версии в качестве Заказчика участник получает в подарок от Платформы или от партнера Платформы 100 баллов на свой аккаунт, которые могут быть им потрачены на 1 срочный пентест своего ресурса или на 2 обычных пентеста своих ресурсов. Таким образом, Платформа фактически дарит владельцам веб-ресурсов и веб-приложений 1-2 бесплатных пентеста по методологии «багбаунти» (обнаружение самых суровых багов, если таковые имеются).

Каждый зарегистрировавшийся на стадии бета-версии в качестве Исполнителя участник получает в подарок от Платформы возможность быстро прокачать собственный аккаунт до приемлемого уровня репутации: за каждый выполненный Заказ мы начисляем не стандартные +1, а +5 или +10 баллов (в зависимости от стоимости Заказа в баллах: 50 или 100). Таким образом, можно быстро перейти в следующую репутационную группу, что очень пригодится впоследствии. После релиза основной версии (предварительно в феврале-марте 2021), баллы репутации за любой заказ вне зависимости от его срочности и сложности начисляются стандартно: +1 за каждый выполненный заказ. Для тех, кто прокачает свой рейтинг в период бета-тестирования, такие баллы репутации, разумеется, перейдут на аккаунты полной версии.

На Платформе «Багбаунтибай» без проблем может зарегистрироваться любой Заказчик. При размещении Заказа надо будет только подтвердить право владения ресурсом, который размещается в Заказе. Что касается Исполнителей, им придется включить мозги и проявить смекалку, чтобы зарегистрироваться на Платформе. Это стандартная практика. Нужно немного покреативить и обойти ловушки, чтобы завершить процесс регистрации. Скажем так, пентестер даже «средней руки» без труда сможет их преодолеть. Но более никаких подсказок не будет. Подтверждено опытом, что преодоление данных препятствий вполне реально, поэтому должен быть какой-то минимальный естественный отбор.

В целом, выполнение Заказов (или попытки их выполнения) на любой Платформе «багбаунти» дают всем желающим начинающим пентестерам возможность получить бесценный практический опыт совершенно легальным способом – с прямого разрешения владельца тестируемого ресурса. Это отличная прокачка скиллов для тех, кто планирует связать свою жизнь с тестированием на проникновение.
 
  • Нравится
Реакции: lockbot и PavelLeven2

kimnatsau

One Level
10.03.2017
7
18
BIT
0
До конца не зарегистрировался... Но.
1. В форме регистрации. регулярка номера телефона просит на одну цифру больше чем в. номере телефона.
2. Ссылка на активацию аккаунта приходит с локалхостом "Для продолжения процесса регистрации перейдите по ссылке хеш ".
3. Регулярка пароля с описанием "и один не запрещенный символ" должна писать какие не запрещены.
4. Надпись проверочный код при загрузке паспорта не до конца понятна код этот пришел по номеру телефона или что хотел автор не известно..
В итоге свои личные данные стало страшновато загружать.
 
  • Нравится
Реакции: zakrush

Сергей Попов

Кодебай
30.12.2015
4 727
6 723
BIT
444
До конца не зарегистрировался... Но.
1. В форме регистрации. регулярка номера телефона просит на одну цифру больше чем в. номере телефона.
2. Ссылка на активацию аккаунта приходит с локалхостом "Для продолжения процесса регистрации перейдите по ссылке хеш ".
3. Регулярка пароля с описанием "и один не запрещенный символ" должна писать какие не запрещены.
4. Надпись проверочный код при загрузке паспорта не до конца понятна код этот пришел по номеру телефона или что хотел автор не известно..
В итоге свои личные данные стало страшновато загружать.
Вообще то для того, чтобы пройти регистрацию на этом сайте, нужны некоторые навыки :) Обычный юзер не сможет зарегистрироваться.
 

larchik

Gold Team
07.06.2019
415
481
BIT
66
Процесс регистрации прошёл до конца, но паспорт отправлять не стал, вместо него отправил рандомную картинку.
Зачем вам паспорт?
На мой взгляд необходимость предоставлять вам копии документов - это существенный недостаток будущей платформы. Многие из потенциальных исполнителей не будут регистрироваться именно по этой причине.
 
  • Нравится
Реакции: AgatCyber

AgatCyber

Green Team
12.11.2020
28
26
BIT
0
До конца не зарегистрировался... Но.
1. В форме регистрации. регулярка номера телефона просит на одну цифру больше чем в. номере телефона.
2. Ссылка на активацию аккаунта приходит с локалхостом "Для продолжения процесса регистрации перейдите по ссылке хеш ".
3. Регулярка пароля с описанием "и один не запрещенный символ" должна писать какие не запрещены.
4. Надпись проверочный код при загрузке паспорта не до конца понятна код этот пришел по номеру телефона или что хотел автор не известно..
В итоге свои личные данные стало страшновато загружать.
Добрый день! По п.1 - там с учетом знака + в начале номера; п.3 - возможно! мы подумаем над этим; п.4 - ну этот код надо найти...на телефон он точно не приходит!

Процесс регистрации прошёл до конца, но паспорт отправлять не стал, вместо него отправил рандомную картинку.
Зачем вам паспорт?
На мой взгляд необходимость предоставлять вам копии документов - это существенный недостаток будущей платформы. Многие из потенциальных исполнителей не будут регистрироваться именно по этой причине.
Спасибо за комментарий! Да, не впервые мы такое слышим...откровенно говоря - возможно, и откажемся от этого впоследствии. Точно останется только необходимость подтверждать права владения ресурсом, который размещается для тестирования. Что касается паспортов - мы в самом начале пути; пока что не можем себе позволить каких-то непоняток с Заказчиками. Поэтому довольно строго следим за теми, кто становится участником. Поэтому регистрируем только проверенных ребят. В случае, если нет никакого желания отправлять копию своего личного документа - есть и другие не менее действенные способы подтвердить свою личность! Это тоже иногда имеет место быть. Ну а насчет рандомной картинки - увидели вроде рандомный запароленный архив. До этого человек присылал самоучитель по MS 17-010))))
Тем не менее подтверждаем - Larchik успешно прошёл регистрацию и обрёл искомый код. По поводу аппрува аккаунта свяжемся дополнительно с использованием ящика, указанного при регистрации.
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
Регнутся не дает, востановить пароль не дает) у вас еще своих багов хватает, что уже говорить о чужих)


 

larchik

Gold Team
07.06.2019
415
481
BIT
66
Регнутся не дает, востановить пароль не дает) у вас еще своих багов хватает, что уже говорить о чужих)


Регнуться даёт, просто регистрация сделана слегка через одно место.
Выше писали, что с вводом номера телефона проблемы. Нужно ввести 12 цифр вместо 11.
ТС на это ответил, что символ "+" тоже засчитывается, но по регулярке видно, что приложение ожидает ввод именно 12 цифр и одного символа "+".
Так же проблема с адресом email. На домен мыла ***.com не удалось зарегать акк, но .ru сработало. Хотя регулярка позволяет и .com (или я что-то не понял, не силен в регулярных выражениях).
Как я понял из ответа автора топика, на сервер можно загружать файлы с разными расширениями (он выше написал, что им кто-то загрузил архив). Тут может быть поле для атакующих )
Мне кажется, что все сделано наспех.
На сайте появился логотип Codeby, что несколько повышает доверие к проекту )

UPD: еще вопросы к политике паролей. Обязательно нужен "один незапрещенный символ". Кто шарит в криптографии - это разве нормально, когда заведомо известно, что в пароле точно есть такой символ, и к тому же один?
 
  • Нравится
Реакции: Ondrik8

Сергей Попов

Кодебай
30.12.2015
4 727
6 723
BIT
444
Логотип добавлен как "Взаимный пиар"
На сайте появился логотип Codeby, что несколько повышает доверие к проекту )
@AgatCyber думаю логотип надо убрать, он вводит людей в заблуждение. Codeby не отвечает за этот проект.
 
  • Нравится
Реакции: larchik

larchik

Gold Team
07.06.2019
415
481
BIT
66
@AgatCyber, какая у вас Организационно-правовая форма? Почему о вас нет инфы на других ресурсах?
Почему в вашем договоре "ПУБЛИЧНАЯ ОФЕРТА" вы себя именуете только как "Платформа"?
Как оказалось, лого Codeby вы разместили без согласования с Codeby?
Вы собираете паспорта и другие документы, не имея юридического лица? Как насчет 152-ФЗ?
 
  • Нравится
Реакции: Murakami и ROP

mrOkey

Well-known member
14.11.2017
967
975
BIT
0
Я бы не советовал пользоваться данным ресурсом. Думайте головой :)
 

Murakami

New member
13.04.2020
2
0
BIT
11
@AgatCyber, какая у вас Организационно-правовая форма? Почему о вас нет инфы на других ресурсах?
Почему в вашем договоре "ПУБЛИЧНАЯ ОФЕРТА" вы себя именуете только как "Платформа"?
Как оказалось, лого Codeby вы разместили без согласования с Codeby?
Вы собираете паспорта и другие документы, не имея юридического лица? Как насчет 152-ФЗ?
Согласен. Тем более еще по Agat гуглится контора из Беларуси связанная с чем-то военным.
 

Сергей Попов

Кодебай
30.12.2015
4 727
6 723
BIT
444
Как оказалось, лого Codeby вы разместили без согласования с Codeby?
По согласованию в рамках взаимного пиара, но ...
думаю логотип надо убрать, он вводит людей в заблуждение. Codeby не отвечает за этот проектP,Насколько вижу, логотип Codeby удален с сайта.
P.S. Вижу, что логотип Codeby удален с сайта
 

AgatCyber

Green Team
12.11.2020
28
26
BIT
0
Регнутся не дает, востановить пароль не дает) у вас еще своих багов хватает, что уже говорить о чужих)


ну кто его знает...обычно таких проблем не возникало в процессе регистрации.
бывают еще иногда и другие факторы, помимо кода самой Платформы...глючный Интернет, плохой комп...ну и руки)

По согласованию в рамках взаимного пиара, но ...

P.S. Вижу, что логотип Codeby удален с сайта
да, конечно! мы насильно не размещаем чужие логотипы - только дружественные и только по согласованию с администрацией этих проектов! вчера увидели сообщение о необходимости убрать логотип и незамедлительно внесли правки. разумеется, вся ответственность за деятельность Платформы лежит сугубо на администрации Платформы и никоим образом не должна компрометировать Codeby ни в чём

Регнуться даёт, просто регистрация сделана слегка через одно место.
Выше писали, что с вводом номера телефона проблемы. Нужно ввести 12 цифр вместо 11.
ТС на это ответил, что символ "+" тоже засчитывается, но по регулярке видно, что приложение ожидает ввод именно 12 цифр и одного символа "+".
Так же проблема с адресом email. На домен мыла ***.com не удалось зарегать акк, но .ru сработало. Хотя регулярка позволяет и .com (или я что-то не понял, не силен в регулярных выражениях).
Как я понял из ответа автора топика, на сервер можно загружать файлы с разными расширениями (он выше написал, что им кто-то загрузил архив). Тут может быть поле для атакующих )
Мне кажется, что все сделано наспех.
На сайте появился логотип Codeby, что несколько повышает доверие к проекту )

UPD: еще вопросы к политике паролей. Обязательно нужен "один незапрещенный символ". Кто шарит в криптографии - это разве нормально, когда заведомо известно, что в пароле точно есть такой символ, и к тому же один?
Доброе утро! Регистрация сделана в первую очередь исходя из понятия секьюрности. Возможно, придется пересмотреть подход в пользу удобства для пользователей. Откровенно говоря - не хотелось бы. Если кто-то считает, что тут слишком сложная регистрация - так это вы еще анкету на американскую визу не заполняли!))) ну и второе (что немаловажно), отнеситесь немножко серьезнее...например как к подтачиванию Kali под себя лично...требует немножко души и времени, но зато потом всё проще)
Верное замечание насчёт почты - отрубили всякое разное...оставили только проверенных временем и репутацией поставщиков услуг (поэтому gmail.com - ДА, а какой-нибудь googlegoogle.com - НЕТ).
По незапрещенным символам - кое-что сервер не принимает (И МЫ ВСЕ ПОНИМАЕМ, ПОЧЕМУ И ЗАЧЕМ). Вот такие символы и запрещены. А что касается того, что он один, возможно как-то перефразируем. На самом деле можно хоть 10 точек в пароле ввести - и всё пройдёт. Точки не запрещены. Имелось в виду, что КАК МИНИМУМ один незапрещенный символ. А кто шарит в криптографии, тот скажет, что это снизит устойчивость к взлому примерно со значения в 100000000000000000000 вариантов до значения в 100000000000000000000-200 вариантов)))
 

AgatCyber

Green Team
12.11.2020
28
26
BIT
0
@AgatCyber, какая у вас Организационно-правовая форма? Почему о вас нет инфы на других ресурсах?
Почему в вашем договоре "ПУБЛИЧНАЯ ОФЕРТА" вы себя именуете только как "Платформа"?
Как оказалось, лого Codeby вы разместили без согласования с Codeby?
Вы собираете паспорта и другие документы, не имея юридического лица? Как насчет 152-ФЗ?
Наша организационно-правовая форма это whitehats как он есть)
Инфы полно, Гугл в помощь))
Без согласования с Codeby лого Codeby мы сочли бы со своей стороны адским хамством размещать!
Как насчет 152-ФЗ? - вот тут отдельно: а как насчёт правового дефолта?)))
Мы никого не принуждаем к регистрации, но все без исключения пентестеры должны быть проверенными людьми. Тут большую озабоченность вызывает сохранность информации о выявленных багах в ресурсах Заказчиков.

Я бы не советовал пользоваться данным ресурсом. Думайте головой :)
спасибо за рекомендацию, сэр, однако мы, к сожалению, уже им пользуемся и никак не можем остановиться...
и нет силы, способной нас остановить)
насчёт призыва думать именно головой - возражений не имеем! сами так делаем регулярно (в принципе это наше обычное состояние)

Согласен. Тем более еще по Agat гуглится контора из Беларуси связанная с чем-то военным.
самое время начать бояться! и ждать стука в двери...
 

mrOkey

Well-known member
14.11.2017
967
975
BIT
0
спасибо за рекомендацию, сэр, однако мы, к сожалению, уже им пользуемся и никак не можем остановиться...
и нет силы, способной нас остановить)
Моя рекомендация для посетителей форума, а не для вас :)
насчёт призыва думать именно головой - возражений не имеем! сами так делаем регулярно (в принципе это наше обычное состояние)

Судя по джуниорским багам в сайте и тем фактом, что вы вышли с такими багами в продакшен, для вас это всё таки необычное состояние ;) ну или вы просто дилетанты))

в любом случае связываться и тем более работать с вами в ущерб себе.
Для всех остальных, которые хотят попробовать себя в багбаунти - рекомендую hackerone.com
 
Последнее редактирование:

AgatCyber

Green Team
12.11.2020
28
26
BIT
0
Моя рекомендация для посетителей форума, а не для вас :)


Судя по джуниорским багам в сайте и тем фактом, что вы вышли с такими багами в продакшен, для вас это всё таки необычное состояние ;) ну или вы просто дилетанты))

в любом случае связываться и тем более работать с вами в ущерб себе.
Для всех остальных, которые хотят попробовать себя в багбаунти - рекомендую hackerone.com
про Хакерван достаточно просто уже описано - там надо реально иметь высочайший скилл, чтобы добиться какой-то правды. не думаю, что тот же mrOkey хоть полцента оттуда поимел)) когда ему даже джуниорские баги Платформы всё-таки не позволяют её примерно-показательно наказать суровой пентестерской карой. чтобы все наглядно поняли, что такое рейт Gold Team. Стало быть, скилл такой - только поумничать из инвиза....
 

Сергей Попов

Кодебай
30.12.2015
4 727
6 723
BIT
444
Господа, призываю делать обоснованные выводы. Давайте познакомимся с администрацией площадки поближе ... в течение какого то промежутка времени, а затем все выскажем свое мнение :)

Судя по джуниорским багам в сайте
Бро, у нас тоже багов хватает. Мы ведь не будем обвинять команду пентестеров в этом? - сайты создает не команда форума, а фрилансеры. Времени на тестирование своих сайтов нет ... так и живем. Вероятно с выше указанным сайтом так же.

про Хакерван достаточно просто уже описано - там надо реально иметь высочайший скилл, чтобы добиться какой-то правды. не думаю, что тот же mrOkey хоть полцента оттуда поимел)) когда ему даже джуниорские баги Платформы всё-таки не позволяют её примерно-показательно наказать суровой пентестерской карой. чтобы все наглядно поняли, что такое рейт Gold Team. Стало быть, скилл такой - только поумничать из инвиза....
Прошу не переходить на личности.
 

AgatCyber

Green Team
12.11.2020
28
26
BIT
0
Господа, призываю делать обоснованные выводы. Давайте познакомимся с администрацией площадки поближе ... в течение какого то промежутка времени, а затем все выскажем свое мнение :)


Бро, у нас тоже багов хватает. Мы ведь не будем обвинять команду пентестеров в этом? - сайты создает не команда форума, а фрилансеры. Времени на тестирование своих сайтов нет ... так и живем. Вероятно с выше указанным сайтом так же.


Прошу не переходить на личности.
а у вас тут не работает случайно отмазка "он первый начал"?))))
ок. учли. заканчиваем вакханалию.
кроме того - личные сообщения ж никто не отменял. к чему всех и призываю.
 
  • Нравится
Реакции: Сергей Попов

mrOkey

Well-known member
14.11.2017
967
975
BIT
0
про Хакерван достаточно просто уже описано - там надо реально иметь высочайший скилл, чтобы добиться какой-то правды. не думаю, что тот же mrOkey хоть полцента оттуда поимел)) когда ему даже джуниорские баги Платформы всё-таки не позволяют её примерно-показательно наказать суровой пентестерской карой. чтобы все наглядно поняли, что такое рейт Gold Team. Стало быть, скилл такой - только поумничать из инвиза....
Мой час времени слишком дорого стоит чтоб я тратил его «наказывая» школо-стартапперов )))
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!