Bug bounty – czym jest i jak może pomóc w nabraniu doświadczenia w cybersecurity?

29 maja 2024

Bug Bounty, czyli polowanie na błędy, to inicjatywy organizowane przez różne podmioty jak np. giganci typu Google czy Microsoft, instytucje rządowe oraz inne organizacje. Dzięki nim specjaliści cyberbezpieczeństwa mają możliwość poszukiwania błędów, często w zamian za niemałe pieniądze.

Bug bounty – na czym to polega?

Jak konkretnie to działa? Znajdujemy interesujący nas program Bug Bounty i czytamy wytyczne.

Programy tego typu można znaleźć w wielu miejscach. Informacje o nich mogą być opublikowane bezpośrednio na stronie danej firmy, jak np.:

Można je też znaleźć na różnych portalach Bug Bounty. Dzisiaj skupimy się właśnie na tego typu rozwiązaniu, a konkretnie na jednym, najbardziej popularnym HackerOne. Na stronie https://hackerone.com/opportunities/all są 444 możliwości w momencie pisania tego artykułu.

bug bounty portale

Wybierzmy sobie jeden program na potrzeby artykułu. Może niech to będzie coś, gdzie potencjalna nagroda będzie spora. $ 1 000 000 wystarczy? Ok, więc przejdźmy do konkretów na podstawie programu Bug Bounty OKG https://hackerone.com/okg?type=team

Od razu zaznaczę – wspomniany milion dolarów, to nagroda, którą raczej ciężko będzie nam uzyskać, co nie zmienia faktu, że jest to jak najbardziej możliwe. Jednak przy tej wielkości nagrodach mówimy o błędach, które stanowią – zgodnie z opisem programu – poziom Extreme (wyżej niż Critical).

Mamy konkretnie opisane co firma uznaje za błędy tak wysokiego poziomu. Najbardziej istotne jest przeczytać zasady i dobrze je zrozumieć. Szkoda byłoby się namęczyć, znaleźć coś za co potencjalnie dostalibyśmy wysoką nagrodę, po czym okazałoby się, że jest Out-Of-Scope – prawda? Na pierwszej stronie programu mamy na ten temat dość sporo, jednak przejdźmy do kolejnej zakładki, gdzie mamy kolejne informacje – czyli Scope https://hackerone.com/okg/policy_scopes

bug bounty - scope

Kiedy widzimy adres podany z gwiazdką, tak jak dla przykładu *.okx.com, jest to wildcard. Oznacza to, że możemy poszukiwać podatności na wszystkich subdomenach tej głównej domeny (okx.com). Czyli dla przykładu api.okx.com itd. Można teraz zapytać, skąd mam wiedzieć, jakie są jeszcze subdomeny w tym przypadku? I to jest właśnie pierwsze zadanie – trzeba ich poszukać.

Metod jest wiele, części z nich można się nauczyć np. na kursach HackerU. I tutaj pragnę zwrócić szczególną uwagę, bo znam przypadki, gdzie ktoś zarobił spore pieniążki właściwie samym „szperaniem”. Nie będę tutaj przytaczał całej historii, ale Hunter odkrył adresy serwerów, które jak się okazało należały do domeny, a na tych serwerach kryły się bazy danych… z domyślnymi danymi logowania! W nagrodę otrzymał kilka tysięcy dolarów, właściwie za samo znalezienie adresów, a reszta „była czystą formalnością”.

Jak najlepiej podejść do polowania na błędy?

Polecam spokojnie przejrzeć platformę, a w przypadku wyboru programu dokładnie przeczytać zasady i przeprowadzić dobry „research”, bo czasem samymi poszukiwaniami można już dużo ugrać.

Są też programy, w których nie ma nagród pieniężnych. Jest tam z pewnością mniejsza konkurencja, ale w dalszym ciągu znalezienie błędu to dla nas profit, w szczególności, jeżeli dopiero zaczynamy. Sam fakt odnalezienia błędu i jego zgłoszenia, o ile jest poprawne, to dla nas plusy, choćby do CV. A jeżeli już przy CV jesteśmy, zadam to samo pytanie, które często zadaje podczas wykładów HackerU – jak myślicie, jaki jest jeden z największych profitów Bug Bounty dla kogoś, kto dopiero zaczyna w cybersecurity? No właśnie. Nie trzeba wysyłać żadnego CV!

To jedna z możliwości szybkiego startu kariery, jeszcze zanim znajdziemy naszą pierwszą, „normalną” pracę. Warto jednak wspomnieć, że są ludzie, którzy Hunterami są na cały etat!

Bug bounty rozpoczęcie poszukiwań

Ok, więc do kiedy już znaleźliśmy program, przeczytaliśmy zasady i wiemy, co możemy robić i czego szukać?

No właśnie, zaczynamy szukać. Z pewnością przyda nam się całe mnóstwo narzędzi, m.in. oczywiście Burp Suite (wersja darmowa wystarczy, w szczególności na początek). A gdy już uda nam się coś znaleźć, pozostaje napisać raport i zgłosić. Pamiętajcie jednak, że konkurencja jest spora, a co za tym idzie czasami możecie zgłosić błąd, który już został zgłoszony przez kogoś wcześniej. Jednak nie przejmujcie się zbytnio takimi sytuacjami, a nawet możecie się ucieszyć – to dla Was wskazówka, że robicie to dobrze!

Na kursie HackerU możecie zdobyć mnóstwo wiedzy, która zapozna Was m.in. z tematami takimi jak Web Fundamentals, czy Web Application Penetration Testing, które są idealnym wejściem np. w świat Bug Bounty. Powodzenia!