聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
媒体网站 Threatpost 邀请漏洞奖励社区的四名意见领袖参加了一场题为《运行成功的漏洞奖励计划的五大要素》的网络研讨会。邀请的嘉宾包括 Bugcrowd 平台的首席技术官兼创始人 Casey Ellis、BetterHelper 公司的安全工程师 Mike Takaashi、Point3 Security 公司的战略副总裁 Chloé Messdaghi,以及Unix System 管理员兼全职漏洞奖励计划黑客 Tommy “@dawgya” DeVoss。如下是问答环节实录,希望能给你带来一些启发。
Q:在一个GDP较低的国家,为所有政府机构运行联合性质的漏洞奖励计划的最佳方式是什么?
Casey Ellis:首先,鼓励每个机构参与进来,这样做要好过集中吸纳,因为它包容了各个机构在协调漏洞修复和支付的能力方面存在的差异。第二,为漏洞披露计划 (VDP) 设立一个集中吸纳口并推动已准备好的已参与机构发起由激励措施推动的计划(如漏洞奖励计划)。
Q:政府部署并运行漏洞奖励计划(通常并不具备巨大的资金池)的最佳模式是什么?
Casey Ellis:先学会爬(从 VDP 开始),再学走路(对关键资产设置奖励),然后再跑(完整的漏洞奖励计划)。
Q:黑客在参与这些计划之前会获取法律建议吗?还是依靠漏洞奖励计划使黑客在法律框架内活动?
ChloéMessdaghi:很少。
Casey Ellis:这种情况很少。一般情况下,如果黑客找到问题是不会分享的。有时候带外人员会澄清、寻求协助或给出指导,这是组织机构 disclose.io 所做的一部分工作。
Q:能否和像我们一样的新手分享一下在范围定义等方面的比较好的模板?
ChloéMessdaghi:建议去访问 disclose.io 网站,更好地了解如何设立更好的披露策略。
Q:众筹漏洞奖励计划如何处理潜在的 GDPR 问题如在第三方研究员披露 bug 进程中涉及的信息披露问题?
Casey Ellis:私密的漏洞奖励计划对研究员具有传递权力,同样,公司也可以通过第三方渗透测试公司实现同样的目的。
Q:如果道德黑客向资产所有人报告了一个可利用的漏洞,那么他们是否能够受到法律的保护?
Casey Ellis:一般而言,如果某组织机构授权你进行测试,那么你的行为很可能得到保护,前提是你遵守这种授权下的任何条件(另外,我并不是律师,也不是你的律师)。
Tommy DeVoss:目前,并不存在这样的法律条款。如果一家公司并未公开列出漏洞奖励/VDP 信息,那么查找并报告漏洞可能会惹上官司,因为从技术上来讲,这是非法行为。
Q:是否存在一些行业组织可以和华盛顿特区的立法者协作,更新适用法律如反黑客《计算机欺诈和滥用法案》?
ChloéMessdaghi:试试电子前线基金会和 I Am The Cavalry。
Casey Ellis:disclose.io
Q:如果有人想从事安全研究员/黑客工作,是否有一些资源推荐?
ChloéMessdaghi: 首先祝贺你想要成为一名黑客!我推荐访问hackingisnotacrime.org 网站,了解哪些组织机构会支持你以及哪些人会在黑客社区发出倡议。如果你想进入漏洞奖励计划行业,我推荐你了解下 Bugcrowd 大学、Hackerone 101 课程以及 Portswigger 学院。你还需要了解一些关于 Burp Suite 方面的知识。
Q:漏洞猎人如何找到圈子?
Casey Ellis:disclose.io 有社区。欢迎加入。Forum.bugcrowd.com也有一些不错的公开问答内容。
Tommy DeVoss:我们在 Slack 上设立了 Bug Bounty Forum,目前成员大概是800名,其中包括漏洞奖励计划所有人、平台和目标的员工等。同时还有一些“discords”和其它 Slack 群。推特也是和其他漏洞猎人联系并获得某些帮助的好去处。
Q:成为自由全职漏洞猎人是否值得?
ChloéMessdaghi: 如果你技能过关、定力强的话,可以。
Tommy DeVoss:我就是自由职业。单在去年我就获得超过50万美元的奖励金,从目前来看,今年也应该差不多,工作时间更少了。
Q:你查找服务器端请求伪造漏洞的方法论是什么?
Casey Ellis:Bugcrowd 大学。
Q:你探查应用程序时最常见的成功探查方法是什么?
Casey Ellis:学些你要找的漏洞,然后去探查。
Q:如何设立一个不会偏离的漏洞奖励计划?
ChloéMessdaghi:不要独自前行。和漏洞奖励计划平台一起合作,从运行六个月到一年的非公开漏洞奖励计划开始。熟悉之后在考虑设立公开计划。
Casey Ellis:除了Chloé的建议外,还是先学会爬然后是走,之后是跑。认为漏洞奖励计划“要么全有,要么全无”的想法是错误的。你可以先慢慢来,而且这样做很明智。
Q:你如何开启猎洞生涯?
ChloéMessdaghi:如果想要从事猎洞工作,我推荐你了解下 Bugcrowd 大学、Hackerone 101 课程以及 Portswigger 学院。你还需要了解一些关于 Burp Suite 方面的知识。熟悉一些 disclose.io 网站上列出的企业。这些企业践行双向信任,当你遵守规定并不实施 exploit 时会得到保护。另外,也可以购买一些 Peter Yaworski 编写的关于漏洞奖励和 Web hacking 方面的书籍。
Q:捕获漏洞的一般时间线是什么?
ChloéMessdaghi:有时会花10分钟,有时会花数周的时间。
Casey Ellis:如果你对自动化感兴趣,有时几分钟就可以了。不过Chloé Messdaghi的说法是对的,每个漏洞都是一片雪花(世界上没有一片雪花是一样的)。
Q:请谈谈和律师合作的经验。
Casey Ellis:我的经验是,如果对方带来了律师,那么你也应该带上律师再进行对话。
Q:收入完全依靠漏洞奖励金的漏洞猎人比例有多少?成为全职的独立漏洞猎人只是一个梦吗?
Casey Ellis:虽然并非遥不可及的梦,但需要投入很多努力。我建议大家在有足够的时间提升自己的 hacking 技能且所赚的钱足够生活得不错后,再考虑全职。
Q:我刚迈入非公开漏洞奖励计划的门槛,能否给出一些关于公开和非公开性质计划的建议?
Mike Takahashi:多数非公开漏洞奖励计划禁止讨论计划,因此我建议遵守他们提出的所有条款。非公开漏洞奖励计划的竞争性更小,所以如果你找到了你自己真的很喜欢的计划,那么它们的诱惑力是非常大的。
Casey Ellis:阅读要求。之后快速行动并首先专注于你最擅长的漏洞。
Q:你如何保证猎洞人不会后续掉头攻击你?
ChloéMessdaghi:那漏洞猎人如何知道你之后不会攻击他们?这是一样的问题。这也就是漏洞奖励计划平台和 disclose.io 存在的意义,它们是为了保护双方的安全。
Casey Ellis:部分原因是,报酬会鼓励人们做正确的事,它是确保你对抗恶意软件修复问题的有用工具。
Q:托管基础设施即服务 (IaaS) 如今已成为我们基础设施的一部分。如果我们不了解威胁全貌,如何才能运行一个漏洞奖励计划呢?
Mike Takahashi:明确哪些资产在范围内以及涵盖你能涵盖的任意基础设施。例如,IaaS 中的配置不当问题很常见,我推荐你尽可能地将其包含在内。
Casey Ellis:这个问题很好。范围的确定性是关键。如果你在权限方面出错(如 *.domain.com),那么花点时间和你的 IaaS/PaaS/SaaS 厂商确保他们获悉的做法很好。“缺少第三方权限”的条款是个很常见的问题。
Q:从哪里寻找漏洞猎人?网站?论坛等?
Mike Takahashi:你建立了漏洞奖励计划,他们自然回来。如果是你自己搭建的,那么需要把网页链接挂在推特上。
Casey Ellis:你可以发布在 TikTok 上,人们就会看到。推广漏洞奖励计划并非难事,将计划和自己的业务需求结合起来才是重点。
Q:设立漏洞奖励计划的前提是什么以及能否给出一些建议?
Mike Takahashi:解决已知问题,确保人们做好分类并修复已报告漏洞的准备,以及相关利益方已知悉。更多内容可参考我的 medium 博客文章 (https://medium.com/@miketakahashi/how-to-start-a-bug-bounty-program-ce20b6a5efc7)。
Casey Ellis:如果是公开的漏洞奖励计划:
1、在开始之前明确内外期望
2、决定如果你动了代码则支付猎人
3、同意先爬后走后跑的做法
Q:如何理顺对所提交漏洞的验证?
Mike Takahashi:明确说明对于漏洞报告的细节要求如 PoC 和影响解释等。
Casey Ellis:如果某个 class、资产或影响是无效的,则在要求中明确提出。要积极主动。这会防止研究员把时间浪费在你不感兴趣的地方,而且他们也不会无功而返。Bugcrowd 平台的 VRT 是开源的,在六年前创建,正是为了解决这个问题 (https://bugcrowd.com/vulnerability-rating-taxonomy)。
推荐阅读
原文链接
https://threatpost.com/bug-bounty-faq/159569/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
725
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
