Bilgi toplama için çok zaman harcayan böcek avcılarının çabaları için her zaman iyi ödüllendirildiği bir sır değil. Geliştiriciler kesin olarak sırları prodüksiyona veya kamuoyuna dönük kaynaklara itmeye devam ettikçe, sırlar için avlanmak bizim gibi güvenlik araştırmacıları için paha biçilmezdir. Özellikle tek bir çift kimlik, keşfetmemiz için yepyeni bir saldırı yüzeyi getirebilir.
Bu makalede, en sevdiğiniz programlarda daha fazla ödül kazanmanın çeşitli yollarıyla sırları nasıl keşfedebileceğinize dalıyoruz.
Hadi dalalım!
GitHub ve GITLAB gibi kod işbirliği platformları, yazılım geliştirme ekiplerinin projeler üzerinde zahmetsizce birlikte çalışmasını sağlar. Ne yazık ki, geliştiricilerin yanlışlıkla yeni kod taahhütlerini sabit kodlu sırlarla zorladıkları ve yalnızca halka açık hale getirildiklerinde fark ettikleri hala oluyor.
Parlak tarafta, bu sert kodlanmış sırları aramamız için bir fırsat açıyor. Kod taahhütlerine göz atarak bu bilgi toplama eylemi GitHub Dorking olarak da adlandırılır. Bu arama yöntemi, ortak desenleri filtrelerken anahtar kelimelerimizi tek bir kuruluşa veya kullanıcıya daraltmayı içerir.
Bir örneğe bir göz atalım:
GitHub Arama (Dorking) Kullanarak Openai API anahtarları için avlanma
Yukarıdaki örnekte, arayışımızı hedef organizasyonumuza daralttık. Ayrıca, Openai API anahtarları için filtreye bir anahtar kelime de ekledik. Openai, kuruluşlar tarafından AI’yı mevcut teknoloji yığınlarına entegre etmek için yaygın olarak kullanılan bir hizmettir. Bu tür jetonları bulmak, Openai hesaplarına erişmemize ve muhtemelen kredi tüketmemize veya eğitim verilerini okumamıza yardımcı olabilir.
Aşağıda, her biri ilgili açıklamaya sahip daha fazla örneğe sahip kısa bir liste var:
org:"example" /"sk-[a-zA-Z0-9]{20,50}"/ # Hard-coded OpenAI API key
org:"example" (AWS_ACCESS_KEY_ID OR AWS_ACCESS_SECRET_KEY) # Hard-coded AWS access & secret key
org:"example" ("sk_live_" OR "pk_live_") # Hard-coded Stripe secret keys
org:"example" (SENDGRID_API_KEY OR sendgrid_api_key) # SendGrid API keys
org:"example" (ANTHROPIC_API_KEY OR anthropic_api_key) # Anthropic API keys
org:"example" (PAYPAL_CLIENT_SECRET OR paypal_client_secret) # PayPal credentials
org:"example" (SQUARE_ACCESS_TOKEN OR square_access_token) # Square payment tokens
org:"example" (AZURE_CLIENT_SECRET OR AZURE_CLIENT_ID) # Azure credentials
org:"example" (CLOUDFLARE_API_TOKEN OR CF_API_TOKEN) # Cloudflare tokens
org:"example" (filename:.env OR filename:.env.local OR filename:travis.yml) # Configuration and build files
org:"example" /http(s)?:\/\// # Hard-coded links
org:"example" ("mongodb://" OR "mongodb+srv://" OR "mysql://") # Database connection strings
org:"example" ("jwt_secret" OR "JWT_SECRET" OR "jwtSecret") # Authentication & security tokens
org:"example" (extension:pem OR extension:key OR extension:p12 OR extension:pfx) # Certificate files
org:"example" (SLACK_BOT_TOKEN OR SLACK_WEBHOOK_URL) # Slack integration tokens
org:"example" (GITHUB_TOKEN OR GITHUB_PAT OR GH_TOKEN) # GitHub personal access tokens
org:"example" /\/\/(.*\.)?amazonaws\.com/ # AWS endpoints
org:"example" /\/\/(.*\.)?firebaseio\.com/ # Firebase endpoints
Github Dorking ile daha fazla güvenlik açıkını bulmak
Github Dorking aracılığıyla daha fazla ödül kazanmak ister misiniz? Kapsamlı Github Dorking Rehberimize bir okuma verdiğinizden emin olun!
https://www.intigriti.com/researchers/blog/hacking-tools/advanced-github-dking-guide
JavaScript dosyaları, güvenlik açıkları arayan böcek ödül avcıları için altın maddeleridir. Modern web uygulamaları, günümüzde, genellikle belgelenmemiş uygulama yollarına, API uç noktalarına ve giriş parametrelerine, kimlik doğrulama jetonlarına (AWS kimlik bilgileri gibi), uygulama mantığını ve yapılandırma ayrıntılarına referansları yanlışlıkla açıklayan JavaScript’e güvenmektedir.
Bu sırlar genellikle saldırı yüzeyimizi genişletmemize veya hatta doğrudan güvenlik açıklarına (DOM tabanlı güvenlik açıkları gibi) yol açmamıza yardımcı olabilir. Örneğin, bir geliştiricinin bir işlev çağrısında bilmeden zor kodlu AWS kimlik bilgilerini oluşturmasıdır:
JavaScript Dosyası numaralandırmasını kullanarak AWS anahtarlarını avlamak
Bir hedefin tüm JavaScript dosyalarını haritalamayı başarabilirsek, pratikte, yukarıdaki örnekte olduğu gibi sırları yakalayacak ortak kalıplar için grep için otomatik bir araç çalıştırabiliriz.
Bir sonraki adımımız bu sırları doğrulamaktır. API anahtarları ve kimlik doğrulama jetonları, ürünün belgeleri gezilerek genellikle kolayca onaylanabilir. Stereak’ın anahtarları gibi açık kaynaklı depolar da sırların doğrulanmasına yardımcı olabilir. Buradaki anahtar, bulunan kimlik bilgisinin gerçekten bir sır olmasını sağlamak ve bazı jetonlar ve API anahtarlarının herkese açık olması gerektiğinden standart ayrıcalıkları yükseltmeye yardımcı olabilmesini sağlamaktır.
JavaScript dosyalarıyla daha fazla ödül puanlayın
JavaScript dosyaları böcek ödül avcıları için altın maddeleridir! Kapsamlı kılavuzumuzda, JavaScript analizi yaparak güvenlik açıklarını nasıl tespit edeceğinizi gösteriyoruz. Makaleyi şimdi okuyun:
https://www.intigriti.com/researchers/blog/hacking-tools/testing-javascript-files-for-bug-dest-hunters
Yapılandırma dosyaları, veritabanı kimlik bilgileri, API anahtarları, şifreleme sırları (SSH anahtar çiftleri gibi), hizmet uç noktaları, vb. Örneğin, yanlış yapılandırılmış web sunucuları, belirli dizin ve yollarda erişim kontrollerinin eksikliği ve hatta unutulmuş yedek kopyalarda.
Bizim gibi güvenlik araştırmacıları için en zor kısım bu hassas yapılandırma dosyalarını nerede arayacağınızı bilmektir. Bunun gibi dosyaları bulmak için uygulayabileceğimiz birkaç yönteme bakalım.
İçerik kaba
Hedef sunucudaki kabarık dosya adları, gizli yapılandırma dosyalarını keşfetmek için en güvenilir yöntemlerden biridir. Anahtar, hedefimizin kullanılan teknolojilerle eşleşen kapsamlı, özel kelime listeleri kullanmaktır. FFUF ve Dirbuster gibi açık kaynaklı takımlar, diğer yöntemlerle keşfedemediğimiz varlıkları keşfetmemize kolayca yardımcı olabilir.
Özel kelime listeleri ile içerik keşfi (bruteforcing)
Özel kelime listeleri ile kaba forfording
Ayrıntılı kılavuzumuzda, hedefinizin daha fazla varlık bulması için özel kelime listenizi nasıl oluşturabileceğinizi özetledik.
https://www.intigriti.com/researchers/blog/hacking-tools/creating-custom-wordlists-for-bug–bounty-tgets-a-complete-guide
Google Dorking
Google ve Bing gibi arama motorları, web sitelerini sürekli olarak sürünüyor ve dizine ekliyor ve bazen geliştiricilerin hiçbir zaman herkese açık olmayı amaçlamadığı dosyaları dizine ekliyor. Bu, dizine eklenmiş açık yapılandırma dosyalarını bulmak için yerleşik arama operatörlerinden yararlanabileceğimiz için bizim için ilginç hale getirir.
Google ile daha fazla güvenlik açığı bulmak
Daha fazla güvenlik açığı bulmak için Google ve Bing Search’i nasıl kullanabileceğiniz hakkında daha fazla bilgi edinmek istiyorsanız, bu konuyla ilgili kapsamlı makalemizi okuduğunuzdan emin olun:
https://www.intigriti.com/researchers/blog/hacking-tools/google-dking-for-binners-how-to-find-more-vulnerability-using-google-search
İnternet Arşivi
Arama motorlarına benzer şekilde, internet arşivleri dizin web siteleri de sürekli olarak, aynı zamanda sürümleri internetteki bireysel sayfaların ‘anlık görüntüleri’ şeklinde de kaydedin. Bu anlık görüntüler artık mevcut olmayan kaynaklar olarak değerli olabilir ve yine de bir İnternet arşivleme hizmeti ile görüntülenebilir.
Örneğin, sabit kodlanmış kimlik bilgileri bir yapılandırma veya JavaScript dosyasında kısaca maruz bırakılmış ve daha sonra birkaç gün sonra kaldırılmışsa. Bunların hala doğru anlık görüntüyü alarak görüntülenebilir.
Bu, hedefinizin arşivlenmiş sürümleri için Wayback Makinesi veya CommonCrawl gibi internet arşivleme hizmetlerini kontrol etmeye değer hale getirir:
Bir JavaScript dosyasının eski bir sürümü örneği
Keşif yapmak her zaman işe yarar, çünkü olası sırları keşfetmenize ve ilk saldırı yüzeyinizi genişletmenize yardımcı olabilir. Zor kısım, onları neyin ve nerede arayacağınızı anlamaktır. Makalemizde, açıklanan sırları tanımlamak ve doğrulamak için çeşitli yöntemleri detaylandırdık.
Bu yüzden, hata ödül programlarında sır bulma konusunda yeni bir şey öğrendiniz … şu anda, becerilerinizi test etme zamanı! Korunmasız laboratuvarlar ve CTFS üzerinde pratik yaparak başlayabilir veya … Intigriti’deki 70+ genel böcek ödül programlarımıza göz atabilirsiniz ve kim bilir, belki bir sonraki gönderiminizde bir ödül kazanabilirsiniz!
Bugün Intigriti’de hacklemeye başlayın