Intigriti olarak misyonumuzla gurur duyuyoruz: siber tehditlerin sürekli geliştiği bir dünyada şirketlerin dijital varlıklarını korumalarına ve müşterilerini korumalarına yardımcı olmak. Ancak güvenliğin ötesinde, etik bilgisayar korsanlarını güçlendirme, onlara öğrenme, büyüme ve becerileriyle anlamlı bir etki yaratma fırsatları sağlama konusunda da aynı derecede tutkuluyuz.
Geçtiğimiz günlerde platformumuza henüz 16 yaşında katılan Sri Lankalı etik hacker Isira ile konuştuk. Adanmışlık, merak ve sıkı çalışma sayesinde böcek ödül avcılığı, kariyerini ve kişisel yaşamını dönüştürdü ve henüz 21 gibi genç bir yaşta kilometre taşlarına ulaşmasını sağladı. Deneyimi, böcek ödül programlarının etkisinin ve yarattıkları fırsatların güçlü bir kanıtıdır.
Hata ödülüne nasıl başladığını, böcek avcılığı yapmak isteyenler için ipuçlarını, “hacker zihniyetini” nasıl tanımladığını ve daha fazlasını öğrenmek için okumaya devam edin.
Sri Lanka’da çok sınırlı fırsatlara sahip orta sınıf bir ailede büyüdüm. Ana akım okul sistemi son derece rekabetçidir ve çoğu zaman birçok kariyer için doğrudan yararlı olmayan materyalleri kapsar, dolayısıyla farklı bir yol isteyen öğrenciler için çok fazla zaman kaybına neden olur. Hata ödülleri benim için bunu değiştirdi. 16 yaşında kazanmaya başladım, bu da AL sınavlarını atlamamı ve mali açıdan bağımsız olmamı sağladı, bir daha ailemden para istemek zorunda kalmadım. Bu gelir, NSBM’deki özel üniversite eğitimim için ödendi; bu da, aksi takdirde geleneksel rotayı takip ederek harcayacağım yıllarımdan tasarruf etmemi sağladı. O zamandan beri ben:
Birçok ülkedeki şirketlerle çalıştı
Hata ödül programları aracılığıyla 700’den fazla güvenlik açığı keşfedildi
20’den fazla profesyonel penetrasyon testi tamamlandı
Üniversite, gönüllü etkinlikler ve çalışmalarla dengeli hata avı ve sızma testi
18 yaşımda ilk arabamı, 21 yaşımda ise ilk evimi aldım. Ayrıca Plymouth Üniversitesi’nden NSBM aracılığıyla Bilgisayar Güvenliği alanında Birinci Sınıf Onur derecesiyle mezun oldum; bununla gurur duyuyorum çünkü bunu aktif olarak avlanırken ve sızma testleri yaparken yaptım.
Çalışırken her zaman tutarlı değildim, ancak boş zamanım olduğunda haftada yaklaşık 20-30 saatini güvenlik açıklarını bulmaya harcıyordum.
Sektörün geleceği parlak.
Araştırmacılar için:
Küresel şirketlerin sahip olduğu çok çeşitli gerçek dünya uygulamalarını test edeceksiniz.
Çalışma finansal ve entelektüel açıdan ödüllendiricidir ve serbest çalışmayı ve uzak yaşam tarzlarını desteklemektedir.
Çeşitli teknolojilerle ve gerçek dünyadaki saldırı yüzeyleriyle karşı karşıya kalırsınız; bu, öğrenmenin en iyi yoludur; uygulamalı test, teorik çalışmadan üstündür.
Şirketler için:
Programlar, kuruluşların varlıklarını çok sayıda vasıflı kişiyle nispeten düşük bir maliyetle test etmesine olanak tanır.
Farklı araştırmacılar farklı yaklaşımlar ve geçmişler getiriyor, dolayısıyla toplam kapsam tek bir test uzmanına dayanmaktan çok daha güçlü.
Hata ödül programları, dış yeteneklerden yararlanmanın ve güvenlik duruşunu geliştirmenin etkili ve ölçeklenebilir bir yoludur.
Genel olarak model, teşvikleri aynı hizaya getiriyor: Araştırmacılar bulgular için para alıyor, şirketler çeşitli testler alıyor ve her iki taraf da birbirinden öğrendikçe ekosistem gelişiyor.
Ayrıntıları anonimleştireceğim, ancak en ilginç vakalardan biri (TECHEM0ENN28JX olarak bildirildi) ısrarı, yaratıcılığı ve çeşitli teknikleri birleştirmesi nedeniyle öne çıkıyor:
Sorundan ilk olarak sabah 1-2 civarında şüphelendim ve katı bir WAF aracılığıyla basit bir geri ping almak için sabah 8:37’ye kadar çalıştım. Bu, bir XXE vektörünü doğruladı ancak RCE’ye hemen ulaşılamadı.
Kısa bir aradan sonra devam ettim ve konseptin kanıtı olarak /etc/passwd dosyasının bazı kısımlarını okuyabildim. Triyaj başlangıçta bunu Yüksek olarak derecelendirdi, bu da kullanım çabasını küçümsedi. Devam ettim.
Aynı günün ilerleyen saatlerinde, kimlik bilgilerini ve genel referansı olmayan ilgili bir API uç noktasını içeren bir XML yapılandırma dosyası buldum. Sunucu tarafındaki bir JAR’ın izini sürdüm, onu JADX ile derledim ve komut yürütülmesine izin veren parametreleri keşfettim.
Sonunda RCE’ye ulaştım. Süreç, kullanılabilirliği etkilemekten kaçınmak için WAF atlatmalarını, XXE’den yararlanmayı, ikili keşif ve derlemeyi ve dikkatli, düşük etkili testleri gerektiriyordu. Bundan keyif aldım çünkü bir CTF’yi çözüyormuş gibi hissettim: katmanlar boyunca birden fazla adım, küçük ipuçlarını bir araya getirerek tam bir yararlanma zinciri.
Hacker zihniyeti merak artı sebattır. Bu, “bu neden bu şekilde davranıyor?” sorusunu sormakla ilgilidir. ve ardından altta yatan mantığı anlayana kadar sistemi metodik olarak araştırmak. Bilgisayar korsanları başarısızlık modlarında düşünürler: geliştiricilerin yaptığı varsayımları ararlar ve bu varsayımları ihlal eden testler yaparlar. Sabırlıdırlar, ayrıntı odaklıdırlar ve küçük sinyalleri, bu sinyaller gerçek bir sorunu ortaya çıkarana kadar yinelemeye isteklidirler.
Programlamayla başlayın: bir şeyler inşa edin ve yıkın. PHP, Node.js gibi web yığını temellerine ve veritabanlarının nasıl çalıştığına odaklanın.
SQL’i ve yaygın veritabanı davranışlarını öğrenin. Verilerin nasıl saklandığını ve sorgulandığını anlamak önemlidir.
İstemci tarafı teknolojilerinde uzmanlaşın: HTML, JavaScript, çerezler, websockets, postMessage ve İçerik Güvenliği Politikası. Bunlar birçok modern böceğin yaşadığı yerdir.
CTF’ler ve laboratuvarlarla pratik yapın. Her zaman uygulamanın neden savunmasız olduğunu sorun ve savunmasız mantığı kafanızda modelleyin.
VDP’lerle (güvenlik açığı açıklama programları) başlayın. Daha az kalabalıktırlar ve deneyim için mükemmeldirler. Gerçek dünyadaki siteler ve uygulamalar konusunda rahat olduğunuzda, herkese açık hata ödül programlarına geçin.
Tutarlı ve kapsamlı olun. En iyi avcılar bile alçaktaki böcekleri gözden kaçırır. Yalnızca otomatik araçlara güvenmeyin; otomasyon genellikle raporların kopyalanmasına neden olur. Manuel avlanma tekniklerini öğrenin ve PortSwigger’ın Web Güvenliği Akademisi ve Intigriti’nin Hackademy’si gibi ücretsiz kaynakları kullanın.
Sektöre girdiğinizde ilk başta para peşinde koşmayın, sizi çabuk tüketir. Bunun yerine deneyim kazanmaya ve geçerli güvenlik açıklarını bulmaya odaklanın. Unutmayın, mükerrer raporlar bile gerçek bir sorun tespit ettiğinizi kanıtlar.
İnanılmaz yolculuğunu ve paha biçilmez içgörülerini topluluğumuzla paylaştığı için Isira’ya çok teşekkür etmek istiyoruz. Hikayesi, merak, kararlılık ve dikkat çekici hedeflere ulaşmak için öğrenme tutkusunu birleştiren hacker zihniyetinin mükemmel bir örneğidir. Isira’nınki gibi hikayeler, her güvenlik açığı raporunun arkasında karmaşık sorunları çözen ve dijital dünyayı herkes için daha güvenli hale getiren kendini adamış bir kişinin bulunduğunu hatırlatıyor. Intigriti’de şirketleri güvende tutma misyonumuzun yanı sıra, bilgisayar korsanlarının gelişebileceği, becerilerini geliştirebileceği ve harika şeyler başarabileceği bir topluluk yaratma misyonumuz var.