执法领域的赏金猎人通常被认为是那些长发飘飞的野蛮人,他们会不惜一切代价追捕犯法者。Bug赏金猎人也许你对追踪基于代码的缺陷也有同样的热情,但是你很难从一堆缺陷中找出它们。
相反追查肇事者,错误赏金猎人追踪在公司的网站的任何漏洞。
乔纳森·辛格,一名安全工程师
黑客发现漏洞的新闻已经司空见惯,漏洞赏金猎人已经成为必要。就在上个月谷歌支付了$ 75,000的错误赏金以固定在Chrome 159层的缺陷。甚至微软增加了一个错误赏金计划今年9月,他提出为发现的漏洞支付最低500美元。
虽然钱是一个很好的激励(和错误赏金猎人不会把任何的下来),他们很高兴能与背部和一定的认可自己的工作拍拍。这是在站点上合法工作,而不必担心与诉讼被服务的方式。
“这不是经常说,你能攻入直播网站无规律的威胁,”乔纳森歌手,在安全咨询业务安全工程师说。“我已经尝试联系公司,如果它是安全的这样做。负责任的披露是最好的政策,但更多的地方需要接受它。”
一个只透露了他的手柄Bitquark的臭虫赏金猎人说,他喜欢利用设计者可能没有打算或没有计划的系统的路线。
“花几个小时的时间在某样东西上,直到最终找到一个虫子,这是非常令人满意的。”
在特斯拉汽车公司工作人员信息安全工程师发现了错误赏金世界中取得成功时,他发现了一个Facebook中的SQL注入缺陷。这一发现让他赚得一个$ 15,000个奖励。导致远程执行的Oculus公司开发人员门户代码的漏洞。
这位30多岁的工程师说,他可能会不时地挑选一个项目,但其他一些项目可能需要更协调一致的努力。
歌手一直是错误赏金猎人刚刚超过一年。
“对我来说,这仍然是一种爱好,有点像周末武士表演,”他说。“我的朝九晚五的工作已经按照规定和政策花掉了,所以这是一种放松的方式,看看存在哪些挑战,或许还能得到一些好处或现金。”
在喜欢的网站Bugcrowd,你可以用一些贡献者破败沿着找到空位的bug悬赏名单。在Bugcrowd显示的公司包括EMC,谷歌,IBM,微软和雅虎。在微小的细节每个布局什么是开放给在其网站上,什么审查可用于奖励。例如,谷歌列出的人谁可以找到远程执行他们的accounts.google.com代码新台币$ 20,000元的奖励。
对于塞巴斯蒂安NEEF,蒂姆·菲利普Schäfers和Julien阿伦斯,他们收集了他们的发现一个五图赏路径遍历漏洞在PayPal的主域名上。这样,他们就可以从服务器下载任何文件。
Neef和Schafers成立了Internetwach.org在2012年,随着阿伦斯加入他们一年后。当被问及是否玩弄一个家庭,而上大学或者是一个错误赏金猎人一起按住一个工作,他们说他们没有结婚“,但有时一个女朋友,让生活更费时,我们都知道家人/女朋友更重要比臭虫狩猎“。
Neef(21)在柏林技术大学学习计算机科学,而Schafers(19)也在Bielefeld学习经济和计算机科学。阿伦斯今年29岁,在secunet安全网络公司(secunet Security Networks AG)工作。当他们开始听说黑客组织“匿名者”的消息时,他们就开始从事漏洞奖励这一副业。
“自然,媒体试图诋毁所有种类的黑客罪犯的。很显然,小错误可能会导致大数据泄漏,”他们说。
三人组建议任何想要进入这个行业的人要准备好跳出框框进行思考,并在你的方法中发挥创造性。他们列出了一个臭虫赏金猎人应该具备的属性列表:
- 创意:尝试寻找新的方法来绕过/合/利用特定的情况下,考虑新的攻击向量
- 像开发人员一样思考:这个人必须同情编写应用程序的开发人员。只有这样,您才能考虑边缘情况或理解应用程序的工作/数据流。
- 像个坏男孩一样思考:尝试突破极限。在成为目标机器的根用户之前不要停止
- 礼貌/平静:这并不总是很容易解释复杂的安全问题给开发人员。成功的一个非常重要的关键是要好好沟通你的想法的可能性,只要你想开发人员解决您的安全成果。
- 现实:总是考虑对业务的实际影响和由此产生的风险。
- 负责人:发现了一个严重错误,通常把在你肩膀上沉重的负担。按指示行动。
“说完一看安全社区,我们可以告诉大家,有很多谁满足几乎所有上述各点的拔尖错误猎人。在另一方面,也有“非技术”或新的bug猎人谁试图通过使用一键式的工具,使一些快钱,有时甚至去尽可能威胁的企业主。我们拒绝称这些人为“错误猎人”,”他们说。
他们享受的错误赏金猎人,因为它给了他们自由地打破东西时,他们想要的。“通过提交有用的报告有很好的机会越来越多的公司将获得有关负责披露的想法,”他们在呼唤错误赏金猎人最终在众包说。
这些错误赏金猎人发现的常见错误通常涉及基本配置错误或缺少最佳实践问题。当遇到更严重的错误时,像跨站点脚本编写(XSS)和跨站点请求伪造(CSRF)这样的标准并不少见。
大多数开发框架处理基本的XSS和CSRF问题。他们已经注意到SQL注入bug的减少,这可以通过ORMs和准备好的语句来支持,这些语句可以很好地防止SQL profile网站和/或工具的出现。
“安全关乎实践。不断尝试,不断尝试,不断学习新东西。”辛格补充道。“我看到一些研究人员一头扎进去,试图破解眼前的一切。祝他们好运,但实际上事情没那么简单。”
漏洞赏金猎人警告说,不要在得到网站所有者的批准之前单独寻找漏洞。像Bugcrowd这样的网站可以帮助建立法律文档来保护赏金猎人。
这个故事,“为什么臭虫赏金猎人喜欢追逐的刺激”最初出版CSO 。