あの世からこんにちは。虫の賞金稼ぎにインタビュー。
今月初め、ベルギーのバグバウンティハンターである Inti De Ceukelaireが、数百の企業に影響を与える独創的なハッキングを公開しました。このトリックは、誤ったビジネスロジックを利用して ビジネスロジックイントラネット、ソーシャルメディアのアカウント、YammerやSlackのチームへのアクセスを可能にします。詳細については、Inti社のブログ記事をご覧ください。 Inti社のブログ記事.そこで、Intiにいくつか質問をしてみましたので、その答えをご紹介します。
インティさん、こんにちは! 読者の皆さんに簡単な自己紹介をお願いします。
私は、IntigritiとHackeroneのバグバウンティハンターのIntiです。ベルギーのアールストに住んでいて、日々物を壊して過ごしています。
先週、私はあなたが「チケット・トリック」と呼んでいるものについてのブログ記事を読み、この攻略法を見つけたあなたの創造性に感銘を受けました。どのようにしてこのトリックを試すアイデアを思いついたのですか?
私はバグバウンティプログラムに参加しています。バグバウンティプログラムとは、特定のウェブサイトが、責任あるセキュリティ研究者がユニークな脆弱性を発見した場合に金銭を提供するというものです。競争が激しいので、他の人がまだ発見していないものを探し続ける必要があります。Slackには機密情報が含まれていることが多く、会社の有効な電子メールだけで済むこともあるので、攻撃の手段としては面白いと思いました。そこで私は、ビールを手に取り、ソファに横になって、ありとあらゆる攻撃ベクトルについて考え始めました。突然、斬新なアイデアが浮かんできて、それがうまくいったのです。私は頭に浮かんだことは何でも試してみます。たとえ数回しか成功しなくても、それが利益につながるのです。)
普段、コードのセキュリティを確保するために逆の立場で仕事をしている者としては、ペンテストのセッションはどのようなものかとよく考えます。 どこで作業しているのでしょうか?空いた時間にソファに座ってするものですか?それとも、オフィスで座っているのでしょうか?
昼間は、Studio Brusselというラジオ局でデジタル・クリエイティブ・コーダーとして働いています。この仕事には、プログラミングとソーシャルメディアが含まれますが、セキュリティはありません。私は自分の趣味とプロの仕事を混同しないようにしています。そんなことをしたら、創造性が失われてしまうからです。ハックする頻度はそれほど多くなく、週に数時間が限度です。テーブルでもソファでもベッドでも、その時に快適なものであれば何でもいいです。
どうやって始めるの?チートシートはありますか?入力の検証や出力のエスケーピングが十分に行われているかどうかをテストするための入力はありますか?
私は本当に混沌としているので、チェックリストはなく、直感で判断しています。ほとんどの場合、偵察と呼ばれる作業から始めます。興味深いターゲット情報、サブドメイン、IPアドレスなど、見つけられるものはすべてリストアップします。ハッキングを開始する前に、全体像を把握し、ビジネスロジックを理解するようにしています。教科書に載っているような標準的な脆弱性だけを探していては、より巧妙で複雑な欠陥の多くを見逃してしまいます。入力に関しては、1つのペイロードで可能な限り多くの脆弱性をカバーするようにしています。何か面白いものを見つけたら、しばらくそれで遊んで、システムがそれにどう反応するかを見るために、たくさんの無意味なものを投げ込んでみます。最高のバグは、ウェブアプリケーションのより離れた部分で見つかることが多いので、できるだけ深く掘り下げるようにしています。
良いペンタリストの条件は何だと思いますか?何かコツのようなものがあれば、教えてください。
私はペンテスターではないので、一般的なペンテスターのことは言えませんが、モチベーションと粘り強さが最も重要な資産だと思います。Googleには世界最高のエンジニアがいるのに、毎年何百万ものバグ報奨金を出しているので、ほとんどの人はセキュリティの脆弱性を探そうとも思わないでしょう。私は2年以上ターゲットに取り組んでいますが、今は本当に面白いバグにたどり着き始めています。それには時間がかかります。通常のペンテストの問題点は、重大な脆弱性を発見してもしなくても、テスターには決まった報酬が支払われることです。フェイスブックにはまだたくさんのバグが残っていると思いますが、深く掘り下げようとする人が必要です。
チケット・トリックの規模がわかったとき、最初に思ったことは何ですか?
複雑な心境でした。驚きとともに、すぐにバグバウンティのことが頭に浮かびましたが、その一方で、こんなことが可能なのかとショックを受けました。このように何かを見つけると、悪意のある人が興味を持つような貴重な情報を突然手に入れることになります。できるだけ多くの企業に知らせる必要がありますが、その一方で、情報が漏洩したり悪用されたりしないようにしなければなりません。
なぜ、より多くの賞金を集める前に情報を公開しようと思ったのですか?
正しいことをすることは、バウンティを集めることよりも重要です。私はそれなりのものを得たと思っていますし、今はコミュニティに恩返しをしたいと思っています。それに、私は何ヶ月も前からこの問題を企業に知らせていたので、より多くの人がこの問題を知っていました。漏洩したり、悪意のある人に悪用されたりするのは嫌だったからね。
影響を受けた企業の対応についてどう感じましたか?
ほとんどの回答は満足のいくものでした。中にはあまり気にしていない企業もありましたが、結局は彼らの損失なのです。セキュリティ・リサーチャーとして拒絶されることはゲームの一部なのです。少なくとも、私は訴訟を起こされませんでした。10年前であれば、おそらくそうなっていたでしょうね。
最後の質問ですが、redditではバグバウンティで8,000ドルを請求したと書かれていましたが、このお金を使って何か素敵な計画はありますか?
合計すると、このバグで2万円以上を手に入れたことになる。そのうちの半分以上は税金に充てています。残りは旅行や食事など、普通のことに使っています。)
お時間をいただきありがとうございました。
このバグはまだ存在しています。すぐに修正できるものではありません。この数ヶ月間、私はバグバウンティプログラムの一環として、何十社もの企業や影響を受けたベンダーに連絡を取り、セットアップの修正を依頼しました。
ピーテル・デ・クレマー
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
あの世からこんにちは。虫の賞金稼ぎにインタビュー。
今月初め、ベルギーのバグバウンティハンターである Inti De Ceukelaireが、数百の企業に影響を与える独創的なハッキングを公開しました。このトリックは、誤ったビジネスロジックを利用して ビジネスロジックイントラネット、ソーシャルメディアのアカウント、YammerやSlackのチームへのアクセスを可能にします。詳細については、Inti社のブログ記事をご覧ください。 Inti社のブログ記事.そこで、Intiにいくつか質問をしてみましたので、その答えをご紹介します。
インティさん、こんにちは! 読者の皆さんに簡単な自己紹介をお願いします。
私は、IntigritiとHackeroneのバグバウンティハンターのIntiです。ベルギーのアールストに住んでいて、日々物を壊して過ごしています。
先週、私はあなたが「チケット・トリック」と呼んでいるものについてのブログ記事を読み、この攻略法を見つけたあなたの創造性に感銘を受けました。どのようにしてこのトリックを試すアイデアを思いついたのですか?
私はバグバウンティプログラムに参加しています。バグバウンティプログラムとは、特定のウェブサイトが、責任あるセキュリティ研究者がユニークな脆弱性を発見した場合に金銭を提供するというものです。競争が激しいので、他の人がまだ発見していないものを探し続ける必要があります。Slackには機密情報が含まれていることが多く、会社の有効な電子メールだけで済むこともあるので、攻撃の手段としては面白いと思いました。そこで私は、ビールを手に取り、ソファに横になって、ありとあらゆる攻撃ベクトルについて考え始めました。突然、斬新なアイデアが浮かんできて、それがうまくいったのです。私は頭に浮かんだことは何でも試してみます。たとえ数回しか成功しなくても、それが利益につながるのです。)
普段、コードのセキュリティを確保するために逆の立場で仕事をしている者としては、ペンテストのセッションはどのようなものかとよく考えます。 どこで作業しているのでしょうか?空いた時間にソファに座ってするものですか?それとも、オフィスで座っているのでしょうか?
昼間は、Studio Brusselというラジオ局でデジタル・クリエイティブ・コーダーとして働いています。この仕事には、プログラミングとソーシャルメディアが含まれますが、セキュリティはありません。私は自分の趣味とプロの仕事を混同しないようにしています。そんなことをしたら、創造性が失われてしまうからです。ハックする頻度はそれほど多くなく、週に数時間が限度です。テーブルでもソファでもベッドでも、その時に快適なものであれば何でもいいです。
どうやって始めるの?チートシートはありますか?入力の検証や出力のエスケーピングが十分に行われているかどうかをテストするための入力はありますか?
私は本当に混沌としているので、チェックリストはなく、直感で判断しています。ほとんどの場合、偵察と呼ばれる作業から始めます。興味深いターゲット情報、サブドメイン、IPアドレスなど、見つけられるものはすべてリストアップします。ハッキングを開始する前に、全体像を把握し、ビジネスロジックを理解するようにしています。教科書に載っているような標準的な脆弱性だけを探していては、より巧妙で複雑な欠陥の多くを見逃してしまいます。入力に関しては、1つのペイロードで可能な限り多くの脆弱性をカバーするようにしています。何か面白いものを見つけたら、しばらくそれで遊んで、システムがそれにどう反応するかを見るために、たくさんの無意味なものを投げ込んでみます。最高のバグは、ウェブアプリケーションのより離れた部分で見つかることが多いので、できるだけ深く掘り下げるようにしています。
良いペンタリストの条件は何だと思いますか?何かコツのようなものがあれば、教えてください。
私はペンテスターではないので、一般的なペンテスターのことは言えませんが、モチベーションと粘り強さが最も重要な資産だと思います。Googleには世界最高のエンジニアがいるのに、毎年何百万ものバグ報奨金を出しているので、ほとんどの人はセキュリティの脆弱性を探そうとも思わないでしょう。私は2年以上ターゲットに取り組んでいますが、今は本当に面白いバグにたどり着き始めています。それには時間がかかります。通常のペンテストの問題点は、重大な脆弱性を発見してもしなくても、テスターには決まった報酬が支払われることです。フェイスブックにはまだたくさんのバグが残っていると思いますが、深く掘り下げようとする人が必要です。
チケット・トリックの規模がわかったとき、最初に思ったことは何ですか?
複雑な心境でした。驚きとともに、すぐにバグバウンティのことが頭に浮かびましたが、その一方で、こんなことが可能なのかとショックを受けました。このように何かを見つけると、悪意のある人が興味を持つような貴重な情報を突然手に入れることになります。できるだけ多くの企業に知らせる必要がありますが、その一方で、情報が漏洩したり悪用されたりしないようにしなければなりません。
なぜ、より多くの賞金を集める前に情報を公開しようと思ったのですか?
正しいことをすることは、バウンティを集めることよりも重要です。私はそれなりのものを得たと思っていますし、今はコミュニティに恩返しをしたいと思っています。それに、私は何ヶ月も前からこの問題を企業に知らせていたので、より多くの人がこの問題を知っていました。漏洩したり、悪意のある人に悪用されたりするのは嫌だったからね。
影響を受けた企業の対応についてどう感じましたか?
ほとんどの回答は満足のいくものでした。中にはあまり気にしていない企業もありましたが、結局は彼らの損失なのです。セキュリティ・リサーチャーとして拒絶されることはゲームの一部なのです。少なくとも、私は訴訟を起こされませんでした。10年前であれば、おそらくそうなっていたでしょうね。
最後の質問ですが、redditではバグバウンティで8,000ドルを請求したと書かれていましたが、このお金を使って何か素敵な計画はありますか?
合計すると、このバグで2万円以上を手に入れたことになる。そのうちの半分以上は税金に充てています。残りは旅行や食事など、普通のことに使っています。)
お時間をいただきありがとうございました。
このバグはまだ存在しています。すぐに修正できるものではありません。この数ヶ月間、私はバグバウンティプログラムの一環として、何十社もの企業や影響を受けたベンダーに連絡を取り、セットアップの修正を依頼しました。
