Иногда сложно снаружи оценить влияние бага на бизнес
В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной.
Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу).
Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием.
Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.
В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной.
Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу).
Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием.
Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.
😁6👍3❤1👏1
Чек-листы безопасности для QA
На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.
Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.
Что-то возможно пора обновить, но пусть будет ссылками.
* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug
На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.
Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.
Что-то возможно пора обновить, но пусть будет ссылками.
* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug
GitHub
GitHub - VasilyevaAn/bac-business-logic-checklist
Contribute to VasilyevaAn/bac-business-logic-checklist development by creating an account on GitHub.
🔥30🤩2
Итоги годового багхантинга
Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.
Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty
Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.
Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).
Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.
В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.
Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.
Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.
Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty
Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.
Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).
Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.
В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.
Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.
🔥46👍10🤩3❤🔥2🎉2
Профессиональные итоги года:
Захотелось выделить отдельно от багбаунти все хорошее что произошло и помогает повышать знания и опыт. Да-да-да нужны ли еще итоги? - шар говорит да.
Что хорошего случилось на работеи можно об этом сказать публично:
* Перешла из команды девопс в команду ИБ - лучшее событие. Теперь зовусь не devsecops, а appsec, хотя и делаю почти тоже самое, но с большим смыслом.
* Пол года вела обучение поиску, устранению и предотвращению уязвимостей среди QA и разработчиков - выживали не многие, но кто оставался были супер. Получались даже форматы дискуссий, а не просто доклады благодаря высокой активности.
* Одна из целей обучения была воспитать 2 новых аппсеков - 1 самый активный участник со следующего года перейдет к нам в команду (это очень здорово).
Вне рабочая активность:
* Поучаствовала со стороны организаторов в Т-банк CTF: делала разборы заданий прошлых лет в режиме мастер-классов в Иннополисе.
* Прочитала 4 разных докладах на 3 конференциях и 1 митапе: "Проклятие дубликатов - как выжить в багбаунти и не потерять мотивацию" на VK Security Confab, "GitLab + DefectDojo + AI:
как я автоматизировала поиск багов в bug bounty" на OFFZONE, "Broken access control через уязвимости бизнес-логики" на Heisenbug и "Своя игра багбаунти" на Bugs 6.
* Написала автоматизацию багбаунти, которая себя окупила и немного заработала - около 70к. Все еще в разы меньше чем я нахожу руками - планирую развивать это направление в следующем году.Уже есть желание полностью переписать, чтобы проще было мастшабировать и продолжить эксперименты с AI.
* Начала палкой тыкать андроид приложения - надеюсь в следующем году смогу поднять в этом направлении экспертизу.
Захотелось выделить отдельно от багбаунти все хорошее что произошло и помогает повышать знания и опыт. Да-да-да нужны ли еще итоги? - шар говорит да.
Что хорошего случилось на работе
* Перешла из команды девопс в команду ИБ - лучшее событие. Теперь зовусь не devsecops, а appsec, хотя и делаю почти тоже самое, но с большим смыслом.
* Пол года вела обучение поиску, устранению и предотвращению уязвимостей среди QA и разработчиков - выживали не многие, но кто оставался были супер. Получались даже форматы дискуссий, а не просто доклады благодаря высокой активности.
* Одна из целей обучения была воспитать 2 новых аппсеков - 1 самый активный участник со следующего года перейдет к нам в команду (это очень здорово).
Вне рабочая активность:
* Поучаствовала со стороны организаторов в Т-банк CTF: делала разборы заданий прошлых лет в режиме мастер-классов в Иннополисе.
* Прочитала 4 разных докладах на 3 конференциях и 1 митапе: "Проклятие дубликатов - как выжить в багбаунти и не потерять мотивацию" на VK Security Confab, "GitLab + DefectDojo + AI:
как я автоматизировала поиск багов в bug bounty" на OFFZONE, "Broken access control через уязвимости бизнес-логики" на Heisenbug и "Своя игра багбаунти" на Bugs 6.
* Написала автоматизацию багбаунти, которая себя окупила и немного заработала - около 70к. Все еще в разы меньше чем я нахожу руками - планирую развивать это направление в следующем году.
* Начала палкой тыкать андроид приложения - надеюсь в следующем году смогу поднять в этом направлении экспертизу.
❤30👍11🔥6😁1😍1
Душевный мерч и поздравление
Я редко занимаюсь обзором мерча (иначе канал бы сменил направленность), но насколько это обалденно. Нашла всех из bizone bugbounty, а так же Bo0om, Freeman, Brain, W0lFreaK и Artebels. Можно разглядывать как ковер и искать остальных из комьюнити багбаунти.
В мире AI генеративного контента - ручное и душевное целится особенно сильно.
Если Вы подумали "хей, я тоже так хочу", то можно стать топ 10 на площадке bugbounty.bi.zone за 2025 (уже в следующем году за 2026) или стать информационным партнером.
Я редко занимаюсь обзором мерча (иначе канал бы сменил направленность), но насколько это обалденно. Нашла всех из bizone bugbounty, а так же Bo0om, Freeman, Brain, W0lFreaK и Artebels. Можно разглядывать как ковер и искать остальных из комьюнити багбаунти.
В мире AI генеративного контента - ручное и душевное целится особенно сильно.
Если Вы подумали "хей, я тоже так хочу", то можно стать топ 10 на площадке bugbounty.bi.zone за 2025 (уже в следующем году за 2026) или стать информационным партнером.
❤23🔥16👏6🤩1
Начала лежать в сторону багбаунти после праздников
За праздники я отлично отдохнула
Редко выходила из дома, много играла, смотрела фильмы и читала комиксы. Столько за целый год не играю. Ни о чем не жалею.
Из пройденного рекомендую Tainted Grail: The Fall of Avalon и Chicken Police. Так же очень весело оказалось проходить в коопе Saint row 4.
Праздники закончились, пора возвращаться в строй поиска уязвимостей. Удалось пока со скрипом. Вечером 3 часа выбирала куда же мне стоит закопаться на ближайшие пару месяцев: смотрела какие сервисы есть у яндекса, вк, wb и появилось ли что-то новенькое у timeweb. Впала в режим "великой нехочухи" и не смогла определиться. Нашла 1 лоу баг и даже лениво было ее заводить. Сегодня исправилась и тут же получила дубль на отчет c декабря. Забавно.
А как ваш после праздничный настрой?
За праздники я отлично отдохнула
Редко выходила из дома, много играла, смотрела фильмы и читала комиксы. Столько за целый год не играю. Ни о чем не жалею.
Из пройденного рекомендую Tainted Grail: The Fall of Avalon и Chicken Police. Так же очень весело оказалось проходить в коопе Saint row 4.
Праздники закончились, пора возвращаться в строй поиска уязвимостей. Удалось пока со скрипом. Вечером 3 часа выбирала куда же мне стоит закопаться на ближайшие пару месяцев: смотрела какие сервисы есть у яндекса, вк, wb и появилось ли что-то новенькое у timeweb. Впала в режим "великой нехочухи" и не смогла определиться. Нашла 1 лоу баг и даже лениво было ее заводить. Сегодня исправилась и тут же получила дубль на отчет c декабря. Забавно.
А как ваш после праздничный настрой?
👍12❤7
Как я играла и проиграла race condition
Есть фича покупка услуги. Захотелось мне ее потестить на race condition. Кто не знает что такое race condition - это ошибка проектирования многопоточной системы при которой работа зависит от того, в каком порядке выполняются части кода. Подробнее читать тут и тут.
Что обычно приходит на ум?
* Положить на кошелек сумму 1-2 услуг и попробовать списать больше, загнав аккаунт в отрицательный баланс.
* Если транзакция не связана напрямую с заказом, а есть некоторая проверка "оплачено", то попробовать за 1 операцию получить 2 услуги
Решено - сделано. Но тут случилась обратная ситуация и у меня списали 4 раза за 1 услугу. Переиграла себя и уничтожила. Обратно, как я хотела изначально сделать, не получилось. Ушла без баунти голодной. Как-то стало обидно и я пошла объяснять техподдержке проблему: смотрите "1 услуга, а списаний 4 в одно и тоже время". Мы переписывались около 1.5 месяца с учетом лага ответов в почти 1 неделю и мне дали промокод на 20% на следующую покупку. Деньги не вернули. Что ж.
Есть фича покупка услуги. Захотелось мне ее потестить на race condition. Кто не знает что такое race condition - это ошибка проектирования многопоточной системы при которой работа зависит от того, в каком порядке выполняются части кода. Подробнее читать тут и тут.
Что обычно приходит на ум?
* Положить на кошелек сумму 1-2 услуг и попробовать списать больше, загнав аккаунт в отрицательный баланс.
* Если транзакция не связана напрямую с заказом, а есть некоторая проверка "оплачено", то попробовать за 1 операцию получить 2 услуги
Решено - сделано. Но тут случилась обратная ситуация и у меня списали 4 раза за 1 услугу. Переиграла себя и уничтожила. Обратно, как я хотела изначально сделать, не получилось. Ушла без баунти голодной. Как-то стало обидно и я пошла объяснять техподдержке проблему: смотрите "1 услуга, а списаний 4 в одно и тоже время". Мы переписывались около 1.5 месяца с учетом лага ответов в почти 1 неделю и мне дали промокод на 20% на следующую покупку. Деньги не вернули. Что ж.
😁33😢15👍3
Уязвимости, найденные случайно
Очень много багов, даже в багбаунти находятся и сдаются случайно. Зайти в определенный момент, увидеть ошибку и понять ее причину. Выполняя рутинные действия и внимательно наблюдая результат можно получить баунти. Если видите "странное поведение" - присмотритесь к нему, возможно, это будет проблемой безопасности.
Какие это проблемы чаще всего у меня?
* Различные broken access control
* Получение секретов
* И даже XSS. Был у меня опыт, когда я в рамках обучения в одном мессенджере скидывала пейлоады XSS, а они отрабатывали)))
Я думаю, что багбаунти - это удача + навыки + внимательность + скорость. Иногда в разных пропорциях. Бывает, что везет и у замеченных проблем, оказывается багбаунти программа. Некоторые знакомые рассказывают, что вообще все бытовые действия стали через Burp Suite/Caido/любая прокси проделывать.
Так недавно пока переписывалась в телеграмме, увидела проблему и попробовала завести. Правда телеграмм сказал, что это ожидаемое поведение, но это уже другая история)
Очень много багов, даже в багбаунти находятся и сдаются случайно. Зайти в определенный момент, увидеть ошибку и понять ее причину. Выполняя рутинные действия и внимательно наблюдая результат можно получить баунти. Если видите "странное поведение" - присмотритесь к нему, возможно, это будет проблемой безопасности.
Какие это проблемы чаще всего у меня?
* Различные broken access control
* Получение секретов
* И даже XSS. Был у меня опыт, когда я в рамках обучения в одном мессенджере скидывала пейлоады XSS, а они отрабатывали)))
Я думаю, что багбаунти - это удача + навыки + внимательность + скорость. Иногда в разных пропорциях. Бывает, что везет и у замеченных проблем, оказывается багбаунти программа. Некоторые знакомые рассказывают, что вообще все бытовые действия стали через Burp Suite/Caido/любая прокси проделывать.
Так недавно пока переписывалась в телеграмме, увидела проблему и попробовала завести. Правда телеграмм сказал, что это ожидаемое поведение, но это уже другая история)
❤11🔥9👏2🤩2🏆2🥰1🤔1