Здравствуйте, дорогие друзья.

Вы стремитесь только к легкой добыче.

Еще одна ошибка, которую часто допускают новички, — полагаться на сканеры уязвимостей. Компании регулярно сканируют и проверяют свои приложения, и другие охотники за ошибками часто делают то же самое, поэтому такой подход не даст Вам хороших результатов.

Кроме того, не ищите только очевидные типы ошибок. Упрощенные ошибки на больших объектах, вероятно, уже были обнаружены. Многие программы вознаграждения за обнаружение ошибок были частными до того, как компании открыли их для публики. Это означает, что несколько опытных хакеров уже сообщили об ошибках, которые легче всего обнаружить. Например, многие хакеры, вероятно, уже проверили уязвимость хранимого XSS в поле комментариев на форуме.

Это не значит, что Вам вообще не следует искать легкую добычу. Только не расстраивайтесь, если таким способом Вы ничего не найдете. Вместо этого постарайтесь получить более глубокое понимание базовой архитектуры и логики приложения. На основе этого Вы можете разработать уникальную методологию тестирования, которая приведет к обнаружению более уникальных и ценных ошибок.

Вы не попадаете в частные программы

Становится намного легче находить ошибки после того, как Вы начнете взламывать частные программы. Многие успешные хакеры говорят, что большая часть их находок получена с помощью частных программ. Частные программы гораздо менее загружены, чем публичные, поэтому у Вас будет меньше конкуренции, а меньшая конкуренция обычно означает более легкий поиск и меньшее количество дубликатов.

Почему Ваши отчеты отклоняются?

Как уже упоминалось, вознаграждение не предусмотрено за три типа отчетов: «N/A», информативные и дубликаты. В этом разделе я расскажу о том, что Вы можете сделать, чтобы уменьшить эти разочарования.

Сокращение количества недействительных отчетов принесет пользу всем. Это не только сэкономит Ваше время и усилия, но и сэкономит сотрудникам службы безопасности время, потраченное на обработку этих отчетов. Вот несколько причин, по которым Ваши отчеты продолжают отклоняться.

Вы не читаете баунти-политику

Одна из наиболее частых причин, по которой отчеты помечаются как «N/A», заключается в том, что они выходят за рамки программы. На странице политики программы часто есть раздел с надписью «Область действия», в котором указано, какие активы компании Вам разрешено взламывать. В большинстве случаев на странице политики также перечислены уязвимости и активы, которые выходят за рамки, а это означает, что Вам не разрешено сообщать о них.

Лучший способ предотвратить отправку данных «N/A» — внимательно и неоднократно читать политику вознаграждений. Какие типы уязвимостей выходят за рамки? А какие из активов организации? Уважайте эти границы и не сообщайте об ошибках, выходящих за рамки рассмотрения.

Если Вы случайно обнаружите критическую проблему, выходящую за рамки рассмотрения, сообщите о ней, если считаете, что организация должна знать об этом! Возможно, Вы не получите вознаграждения, но Вы все равно сможете внести свой вклад в безопасность компании.

Вы не ставите себя на место организации

Информативные сообщения предотвратить гораздо труднее, чем сообщения «N/A». В большинстве случаев Вы будете получать информативные оценки, потому что компанию не волнует проблема, о которой Вы сообщаете.

Представьте себя инженером по безопасности. Если Вы ежедневно защищаете данные миллионов пользователей, заинтересует ли Вас открытая переадресация, которую можно использовать только для фишинга? Хотя это серьезный недостаток безопасности, Вы, вероятно, этого не сделаете. У Вас есть и другие обязанности, поэтому исправление ошибок низкой важности находится в самом низу вашего списка дел. Если у службы безопасности нет дополнительного персонала для обработки этих отчетов, они иногда игнорируют их и отмечают как информативные.
Я обнаружил, что самый полезный способ уменьшить информативность — это поставить себя на место организации. Узнайте об организации, чтобы Вы могли идентифицировать ее продукт, данные, которые она защищает, и наиболее важные части ее приложения. Как только Вы узнаете приоритеты бизнеса, Вы сможете устранить уязвимости, которые волнуют команду безопасности.
И помните, у разных компаний разные приоритеты. Информативный отчет для одной организации может иметь решающее значение для другой. Как и в случае с сайтом знакомств и сайтом поиска работы, упомянутым ранее в этом разделе, все относительно. Иногда трудно понять, насколько важна ошибка для организации. Некоторые проблемы, которые я назвал критическими, оказались информативными. А некоторые уязвимости, которые я отнес к категории слабых последствий, были оценены как критические.

Здесь метод проб и ошибок может окупиться. Каждый раз, когда служба безопасности классифицирует Ваш отчет как информативный, записывайте его для дальнейшего использования. В следующий раз, когда Вы обнаружите ошибку, спросите себя: заботилась ли эта компания о подобных проблемах в прошлом? Узнайте, что волнует каждую компанию, и адаптируйте свои хакерские усилия в соответствии с их бизнес-приоритетами. Со временем Вы разовьете интуицию относительно того, какие ошибки оказывают наибольшее влияние.

Вы не создаете цепочку ошибок

Вы также можете получать статус — информативный, потому что всегда сообщаете о первой обнаруженной незначительной ошибке.
Но мелкие ошибки, классифицированные как информативные, могут стать большими проблемами, если Вы научитесь их объединять. Обнаружив ошибку низкой степени серьезности, которую могут отклонить, не сообщайте об этом немедленно. Вместо этого попробуйте использовать его в будущих цепочках ошибок. Например, вместо того, чтобы сообщать об открытом перенаправлении, используйте его в атаке подделки запроса на стороне сервера (SSRF)!

Вы пишете плохие отчеты

Еще одна ошибка, которую часто допускают новички, заключается в том, что они не сообщают о влиянии ошибки в своем отчете. Даже если уязвимость имеет серьезные последствия, если Вы не можете сообщить о ее последствиях команде безопасности, они отклонят отчет.

А как насчет дубликатов?

К сожалению, иногда дубликатов не избежать. Но Вы можете снизить свои шансы получить дубликаты, охотясь за программами с большим скоупом, взламывая частные программы, активно выполняя разведку и разрабатывая свою уникальную методологию поиска.

На этом все. Всем хорошего дня!

Цикл статей по Bug Bounty.