Hata ödülü avcılığı yeni başladığınızda, özellikle de teknik olmayan bir altyapıdan geliyorsanız, bunaltıcı görünebilir. Ve o zaman bile, hata ödülü (veya genel olarak web güvenliği), kavranacak çok şeyi olan geniş bir konudur.
Hata ödüllerine katılmak çoğu zaman binlerce diğer avcının aktif olarak hacklediği ve bazı katılımcıların uzun yıllara dayanan deneyime sahip olduğu hata ödül programlarında rekabet etmek anlamına da gelir. Bu makalede, acemi bir hata ödülü avcısı olarak hata ödülü dünyasında nasıl gezinebileceğinizi ve benzersiz ve keşfedilmemiş güvenlik açıklarını bulabilmek için metodolojinizi nasıl geliştirebileceğinizi ele alacağız.
Hadi dalalım!
Hata ödül metodolojisi, bir hedefe yönelik benzersiz yaklaşımınızdır. Bu yaklaşım, en fazla sayıda güvenlik açığını bulmanıza yardımcı olacak adım adım bir süreçtir. Herkesin hata ödülü hedeflerine yönelik kendine özgü bir yaklaşımı vardır.
Benzersiz bir hata ödül metodolojisine sahip olmak, diğer rakip avcılara karşı size avantaj sağlayacağı için önemlidir. Benzersiz bir metodoloji aynı zamanda mükerrer gönderim sayınızı da azaltacaktır çünkü aynı programdaki rakip hata ödülü avcıları sizinle aynı hataları bulamayacaktır.
Hata ödül metodolojisinin ne olduğunu daha iyi anlamak için 2 yaygın ve basit örneğe göz atalım. Hunter A, keşif konusunda yeteneklidir ve Google & Bing veya Shodan & Censys gibi internet arama motorlarından yararlanarak ilginç hedefler bulabilir. Bu nedenle joker kapsamları olan programları tercih ediyor ve günlerini yalnızca yararlı veriler toplamakla geçiriyor.
Hunter B, kendisi için işe yarayan zıt bir yaklaşımı benimsiyor. Uygulama geliştirme konusunda geçmişi vardır ve aslında birincil uygulamanın derinliklerine dalmayı, JavaScript dosyalarını okumayı ve hedefin sağladığı her olası özelliği ve işlevselliği test etmeyi tercih eder.
Öyleyse benzersiz hata ödül metodolojinizi oluşturmanız için size fikirler sunmanıza yardımcı olalım. Ancak bundan önce doğru temellere sahip olmamız gerekiyor.
Temelleriniz her şeydir. Eğer yeni başlıyorsanız, temel konularda uzmanlaşmanızı önemle tavsiye ederiz. İnternetin, özellikle de HTTP’nin nasıl çalıştığını öğrenin. Çoğu deneyimli hata ödülü avcısı ayrıca ön uç web geliştirmeyi, özellikle HTML ve JavaScript’i öğrenmenizi önerir.
Bir sonraki adım web güvenliğinin temellerini anlamaktır; SQL Enjeksiyonları, Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açıkları vb. gibi OWASP’ın En İyi 10 güvenlik açığının temellerini kavramanızı öneririz. Birden fazla kaynağa dalın, eğitim videolarını izleyin, CTF zorluklarını çözmeye çalışın ve gerçek dünya senaryolarını taklit eden laboratuvarlarda pratik yapın.
Hata ödülüne yeni başlayanlar için 100 saniyede XSS gibi videolar yayınladığımız resmi bir YouTube kanalımız var:
Ayrıca blogumuzda gelişmiş SSRF güvenlik açıklarından yararlanma gibi bilgi edinebileceğiniz yazılı kılavuzlarımız da bulunmaktadır.
Ayrıca araçlarınızı da ihmal etmemeli, proxy müdahale aracınızı ve web tarayıcınızı kendi avantajınıza nasıl kullanacağınızı öğrenmelisiniz. Bu araçlarla çok fazla zaman harcayacaksınız ve tüm ayrıntıları öğrenmek, testlerinizde size kesinlikle yardımcı olacaktır.
Bu, başlangıç noktanızı tanımlayacağından açık ara en önemli kısımdır. En güçlü noktalarınızı belirlemek aynı zamanda onları daha da geliştirmenize ve sizi diğer rakip avcılardan ayırmanıza yardımcı olacaktır.
Bu nedenle, belirli bir web güvenlik açığı sınıfına, teknoloji yığınına veya hedef türüne daha derinlemesine dalmak için en güçlü noktalarınızı belirlemelisiniz. Deneyimli avcıların çoğu genellikle yalnızca küçük bir güvenlik açığı sınıfı kümesine veya belirli bir tür hedefe (e-ticaret web siteleri gibi) odaklanır; bu yaklaşım, belirli güvenlik açığı türlerini bulmak için kolayca deneyim geliştirmenizi sağlar ve aynı zamanda uzmanlaşmanıza da yardımcı olur onları daha hızlı
Örneğin, ön uç web geliştirme konusunda uzmansanız, istemci tarafı web güvenliği açıklarına (XSS gibi) odaklanmak size benzersiz bir avantaj sağlar. Daha önce veritabanlarıyla çalıştıysanız SQL enjeksiyon güvenlik açıklarını tespit etme konusunda zaten deneyiminiz olabilir.
E-ticaret web sitelerinden memnunsanız, bu tür hedeflerde yaygın olarak bulunan bir güvenlik açıkları alt kümesine (fiyat manipülasyonu güvenlik açıkları gibi) odaklanabilirsiniz.
Diğer böcek ödülü avcıları, keşif konusunda yetenekli olduklarını keşfederler ve genellikle güvenlik açıklarına yol açan bir hedef hakkında çeşitli bilgileri kolayca bulabilirler, bu nedenle zamanlarını yalnızca büyük kapsamlara sahip böcek ödül programları üzerinde avlayarak geçirirler.
En güçlü taraflarınızı belirlemeli, seçmeli ve üzerinde durmalısınız; bu, başlamanın ve hızlı sonuçlar elde etmenin açık ara en iyi yoludur.
En güçlü yönlerinizden herhangi birini belirleyememeniz durumunda, örneğin teknik olmayan bir altyapıdan geliyorsanız, çeşitli güvenlik açığı sınıfları hakkında bilgi edinmenizi ve en ilgi çekici olanları seçerek üzerinde yoğunlaşmanızı öneririz.
Burası, çeşitli hedefleri hacklemeniz ve seçtiğiniz hedef türündeki güvenlik açıklarını aktif olarak aramanız gereken yerdir. Buradaki anahtar, güvenlik açıklarını aramak için mümkün olduğunca fazla zaman harcamaktır. Sonuçta, güvenlik açıklarını bulmanıza yardımcı olacak kalıpları hızlı bir şekilde yakalamak ve tanımak için deneyim kazanmak istersiniz. Bu, diğer benzer hata ödül programları ve hedeflerindeki belirli türdeki güvenlik açıklarını kolayca tespit etmenize olanak tanır.
Örneğin, belirli bir hata ödül programında (bir e-ticaret sitesi gibi) yeterince zaman harcadıktan sonra, hedefinizdeki diğerlerinin gözden kaçırdığı bir güvenlik açığı sınıfına karşı öncelikli olarak savunmasız olan bileşenleri neredeyse yalnızca siz kolayca fark edeceksiniz. Veya alt alan adlarının genellikle birincil uygulama veya hedefle aynı miktarda güvenlik odağına sahip olmadığını fark edeceksiniz; bu, diğer rakip avcıların çok azının bildiği, kazançlı yöntemlerle el değmemiş alt alan adlarını aramanıza yol açacaktır.
Öncelikle hizmet olarak yazılım (SaaS) hedeflerini hedeflediyseniz, güvenlik açıklarınızın çoğunun yakın zamanda piyasaya sürülen özelliklerde bulunduğunu hemen fark edeceksiniz. Bu, değişiklik günlüklerini ve API veya ürün belgelerindeki değişiklikleri yakından izlemenize olanak tanır.
Sürekli pratik yapmak ve hedefler üzerinde zaman harcamak, zayıf noktalarınızı bulmanıza yardımcı olabilecek bu küçük göstergelerden birkaçını fark etmenize yardımcı olacaktır. Başkalarının sıklıkla gözden kaçırdığı veya aramadığı göstergeler. Sonuç olarak, hedefe yaklaşacağınız benzersiz fikirler üretmeye de başlayacaksınız.
Artık her yeni hedefe dağıtabileceğiniz ve geniş ölçekte kullanabileceğiniz, yeniden kullanılabilir bir sistem oluşturmanın zamanı geldi. Bu, takip ettiğiniz bir kontrol listesi biçiminde olabileceği gibi, otomatikleştirilmiş bir araç veya komut dosyası da olabilir.
Kendinizi belirli bir görev için aynı sabit adımları tekrar tekrar tekrarlarken bulursanız, değerli zamanınızı geri alacak otomatik bir aracı kolayca geliştirebilirsiniz.
Kontrol listeleri, testlerinizde tutarlılık sağlayabilir ve normalde arayacağınız belirli alanlardaki güvenlik açıklarını aramayı unutmanızı önlemenize yardımcı olabilir.
Size daha fazla güvenlik açığı bulan bir hata ödül metodolojisi hazırlamaya yardımcı olmak için yeni başlayanlara verebileceğimiz 8 ek ipucu:
1) Uzun bir süre boyunca tek bir hedef üzerinde avlanın.
Uzun bir süre boyunca tek bir hedef üzerinde avlanın. Başka bir hedefe geçmeden önce en az 2 hafta hedefleyin. Ne kadar çok zaman harcarsanız hedefiniz konusunda o kadar çok bilgi ve deneyim kazanırsınız. Bunun nedeni, daha önce kapsamlı bir şekilde test edilmemiş özellikler ve işlevlerle karşılaşmaya başlayacak olmanızdır.
2) Geniş kapsamlı programlardaki hedeflerin haritasını çıkarın
Geniş kapsamlı programlarda hedeflerin haritasını çıkarın. Özellikle alt alan adları ve yan varlıklar (program kapsamına dahil olmak şartıyla). Bu varlıklar genellikle güvenlik açısından daha az dikkat çeker ve savunmasız olmaya daha yatkındır.
3) Ürün belgelerini okuyun
Ürün belgelerini okuyun. Nelere izin verildiğini ve hangi davranışların mümkün olmaması gerektiğini öğrenin. Bu, erişim kontrolü sorunları veya iş mantığı hataları gibi güvenlik açıklarını bulmanıza yardımcı olabilir.
4) Değişiklikleri takip edin
Değişiklikleri yakından takip edin. Hedef bir değişiklik günlüğü tutuyorsa, onu yakından takip edin ve günlük olarak takip edin. Çoğu zaman, yeni özellikler büyük olasılıkla güvenlik sorunları açısından kapsamlı bir şekilde test edilmemiştir.
5) JavaScript dosyaları altın madenleridir
JavaScript dosyaları, hata ödülü avcıları için altın madenleridir. Bunları okumanızı ve ilginç bağlantılara yönelik açık referanslara bakmanızı öneririz. Sabit kodlanmış kimlik bilgilerine de dikkat edin!
6) İlginç davranışlarla ilgili notlar kaydedin
İlginç davranışlarla ilgili notlarınızı kaydedin. Kötü niyetli bir istek gönderdikten sonra garip bir yanıtla karşılaştınız mı? Daha sonra başvurmak üzere not alma uygulamanıza not edin. İşe yarayacağı zaman asla!
7) Becerilerinize uygun bir program seçin
Becerilerinize uygun bir program seçin. Mobil uygulamalar konusunda daha yetkinseniz, kapsamda bunlardan açıkça bahseden programları bulun. Geniş kapsamlı hedefler için keşif yapmayı seviyorsanız, joker kapsamı sunan bir program bulun.
Intigriti’de her türden hata ödül programlarımız var, bugün kaydolun ve yeni favori programınızı aramaya başlayın!
8) Standart olmayan HTTP bağlantı noktalarında çalışan hizmetleri test edin
Standart olmayan HTTP bağlantı noktalarında (80 veya 443 numaralı bağlantı noktasında olmayan açık HTTP bağlantı noktaları) çalışan hizmetleri keşfedin ve test edin. Bunlar genellikle hizmetin geliştirme veya idari amaçlarla kullanıldığını gösterir!
UÇ! Kullanabilirsin İlginç varlıklar bulmak için Shodan ve Censys gibi araçlar!
Sağlam bir metodoloji oluşturmak zaman ve pratik gerektirir. Temel bilgilerle başlayın ve deneyiminize dayanarak yaklaşımınızı yavaş yavaş geliştirin ve geliştirin. Ayrıca küçük bir ekip oluşturabilir ve diğer avcılarla işbirliği yapabilirsiniz. Birbirinizden öğrenmek, daha hızlı bir şekilde daha fazla deneyim kazanmanıza yardımcı olabilir. İşbirliği için, benzer düşüncelere sahip avcıları bulmaya özel bir yer olan Discord Topluluğumuza katılmanızı öneririz!
Geniş kapsamlı programları araştırmak veya SaaS uygulamalarının derinliklerine dalmak istiyorsanız, hata ödül platformumuzdaki çok sayıda programımıza göz atın ve kim bilir, belki bir sonraki ödülünüzü bizimle kazanabilirsiniz!
https://intigriti.com/programs