Третий митап Standoff Talks состоялся 14 мая 2023 года в лофте «Весна», тема встречи на этот раз была одна — багбаунти. Теплым воскресным днем багхантеры и держатели ББ‑программ собрались под крышей уютного лофта, чтобы поделиться своим опытом друг с другом, прерываясь на приватные беседы и не забывая бодриться кофе. Основной частью митапа были доклады.
Мне повезло выступить первым на этом митапе, сразу после короткого вступительного слова от организаторов.
Я рассказал слушателям о своем опыте исследования экосистемы WordPress и о том, как меня сначала пригласили в закрытую багбаунти‑программу, а полгода спустя — уже в команду организатора этой программы на роль исследователя безопасности.
В мае 2023-го, что символично, WordPress исполнилось двадцать лет. Было интересно подвести некоторый промежуточный итог и переосмыслить достижения и актуальное состояние, прежде всего вопросов безопасности этой системы. Вне всяких сомнений это самый популярный движок на рынке, и он весьма безопасен, если говорить именно о ядре — WordPress Core. А вот с багбаунти у WordPress не все радужно.
Не секрет, что у WordPress есть сразу две официальные ББ‑программы на HackerOne: WordPress и Automattic. Скоуп приличный, но покрывает он только сервисы и плагины компании, а также само ядро движка. Выплаты скромные: не встречал наград выше 800 долларов США, и это за критическую уязвимость.
Неофициальные багбаунти‑программы тоже существуют, но похвастаться известностью или большим скоупом не может ни одна из них. Исключением можно назвать разве что Elementor — там платят бодрее, чем в официальной багбаунти‑программе WordPress (например, выплатили 4000 долларов за прикольную XSS).
Случается, что из‑за скромных выплат исследователи начинают примерять на себя «черную шляпу» и продают уязвимости на сторону либо занимаются взломом на заказ. В деньгах это получается гораздо выгоднее, хотя и крайне рискованно, поскольку может повлечь последствия юридического характера. Я, естественно, призываю всех работать легально и сдавать баги вендору.
Затем я рассказал о компании Patchstack, которая в 2021 году запустила уникальную закрытую ББ‑программу для уязвимостей в WordPress. В чем заключалась новизна этого решения?
Во‑первых, принимались баги как в ядре движка, так и в плагинах и темах, причем и бесплатных, и премиум. Во‑вторых, попасть в эту ББ‑программу можно было только по приглашению и имея подтвержденные уязвимости, то есть новичков среди участников не было. Третий момент — возможность эксплуатации недоработанных правил программы, чем я сразу и занялся и что давало возможность на протяжении пяти месяцев оставаться на первом призовом месте. На шестой месяц я уже получил приглашение в команду Patchstack, и это открыло путь к совершенно новому опыту в моей жизни.
Вторую часть доклада я уже читал с позиции сотрудника компании и триажера, рассказывая об очевидных проблемах и их решениях. Завершил доклад советами, которые пригодятся багхантерам и триажерам. Ключевая рекомендация — совершенствовать коммуникационные скиллы и общаться конструктивно и уважительно. Эту же мысль, кстати, в последующих докладах неоднократно озвучивали коллеги, что явно намекает на ее актуальность.
Алексей — опытный пентестер и багхантер «старой школы», начавший охоту за багами еще в конце нулевых. Напомню, что в те годы никаких ББ‑программ, в общем‑то, и не существовало, так что приходилось действовать на свой страх и риск. Как это было раньше: находишь уязвимость, а потом штурмуешь компанию со всех сторон — от формы обратной связи и технической поддержки до звонков по всем указанным номерам телефонов. Не секрет, что большая часть таких обращений уходит в /dev/null/ с подачи сотрудников компании, и эта знакомая сердцу багхантера традиция благополучно дожила до наших дней в первозданном виде.
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
9990 рублей 4000 р.
[TD]
920 р.
[/TD]
Я уже участник «Xakep.ru»
Основные термины
- Баунти — вознаграждение, в нашем контексте — за найденные уязвимости.
- Багхантер — этичный хакер, исследователь безопасности, выявляющий ошибки и уязвимости (не всегда работая за награду).
- Программа багбаунти — комплекс мер, позволяющий привлекать багхантеров для тестирования ПО, сервиса или продукта.
- Холдер ББ‑программы — компания, запустившая свою багбаунти‑программу.
- Триаж — предварительная сортировка багов при принятии по программе багбаунти.
1. Багбаунти и WordPress: история одной программы багбаунти снаружи и изнутри
- Докладчик: Влад FearZzZz
- Запись доклада
Мне повезло выступить первым на этом митапе, сразу после короткого вступительного слова от организаторов.
Я рассказал слушателям о своем опыте исследования экосистемы WordPress и о том, как меня сначала пригласили в закрытую багбаунти‑программу, а полгода спустя — уже в команду организатора этой программы на роль исследователя безопасности.
В мае 2023-го, что символично, WordPress исполнилось двадцать лет. Было интересно подвести некоторый промежуточный итог и переосмыслить достижения и актуальное состояние, прежде всего вопросов безопасности этой системы. Вне всяких сомнений это самый популярный движок на рынке, и он весьма безопасен, если говорить именно о ядре — WordPress Core. А вот с багбаунти у WordPress не все радужно.
Не секрет, что у WordPress есть сразу две официальные ББ‑программы на HackerOne: WordPress и Automattic. Скоуп приличный, но покрывает он только сервисы и плагины компании, а также само ядро движка. Выплаты скромные: не встречал наград выше 800 долларов США, и это за критическую уязвимость.
Неофициальные багбаунти‑программы тоже существуют, но похвастаться известностью или большим скоупом не может ни одна из них. Исключением можно назвать разве что Elementor — там платят бодрее, чем в официальной багбаунти‑программе WordPress (например, выплатили 4000 долларов за прикольную XSS).
Случается, что из‑за скромных выплат исследователи начинают примерять на себя «черную шляпу» и продают уязвимости на сторону либо занимаются взломом на заказ. В деньгах это получается гораздо выгоднее, хотя и крайне рискованно, поскольку может повлечь последствия юридического характера. Я, естественно, призываю всех работать легально и сдавать баги вендору.
Затем я рассказал о компании Patchstack, которая в 2021 году запустила уникальную закрытую ББ‑программу для уязвимостей в WordPress. В чем заключалась новизна этого решения?
Во‑первых, принимались баги как в ядре движка, так и в плагинах и темах, причем и бесплатных, и премиум. Во‑вторых, попасть в эту ББ‑программу можно было только по приглашению и имея подтвержденные уязвимости, то есть новичков среди участников не было. Третий момент — возможность эксплуатации недоработанных правил программы, чем я сразу и занялся и что давало возможность на протяжении пяти месяцев оставаться на первом призовом месте. На шестой месяц я уже получил приглашение в команду Patchstack, и это открыло путь к совершенно новому опыту в моей жизни.
Вторую часть доклада я уже читал с позиции сотрудника компании и триажера, рассказывая об очевидных проблемах и их решениях. Завершил доклад советами, которые пригодятся багхантерам и триажерам. Ключевая рекомендация — совершенствовать коммуникационные скиллы и общаться конструктивно и уважительно. Эту же мысль, кстати, в последующих докладах неоднократно озвучивали коллеги, что явно намекает на ее актуальность.
2. Из багбаунти в пентесты и обратно
- Докладчик: Алексей Томилов
- Запись доклада
Алексей — опытный пентестер и багхантер «старой школы», начавший охоту за багами еще в конце нулевых. Напомню, что в те годы никаких ББ‑программ, в общем‑то, и не существовало, так что приходилось действовать на свой страх и риск. Как это было раньше: находишь уязвимость, а потом штурмуешь компанию со всех сторон — от формы обратной связи и технической поддержки до звонков по всем указанным номерам телефонов. Не секрет, что большая часть таких обращений уходит в /dev/null/ с подачи сотрудников компании, и эта знакомая сердцу багхантера традиция благополучно дожила до наших дней в первозданном виде.
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
| -60% |
1 year
9990 рублей 4000 р.
[TD]
1 month_r
920 р.
[/TD]
Я уже участник «Xakep.ru»
