Standoff Talks #3. Шесть докладов, которые должен посмотреть багхантер - «Новости»

Мне повез­ло выс­тупить пер­вым на этом митапе, сра­зу пос­ле корот­кого всту­питель­ного сло­ва от орга­низа­торов.

Я рас­ска­зал слу­шате­лям о сво­ем опы­те иссле­дова­ния эко­сис­темы WordPress и о том, как меня сна­чала приг­ласили в зак­рытую баг­баун­ти‑прог­рамму, а пол­года спус­тя — уже в коман­ду орга­низа­тора этой прог­раммы на роль иссле­дова­теля безопас­ности.

В мае 2023-го, что сим­волич­но, WordPress исполни­лось двад­цать лет. Было инте­рес­но под­вести некото­рый про­межу­точ­ный итог и пере­осмыслить дос­тижения и акту­аль­ное сос­тояние, преж­де все­го воп­росов безопас­ности этой сис­темы. Вне вся­ких сом­нений это самый популяр­ный дви­жок на рын­ке, и он весь­ма безопа­сен, если говорить имен­но о ядре — WordPress Core. А вот с баг­баун­ти у WordPress не все радуж­но.

Не сек­рет, что у WordPress есть сра­зу две офи­циаль­ные ББ‑прог­раммы на HackerOne: WordPress и Automattic. Ско­уп при­лич­ный, но пок­рыва­ет он толь­ко сер­висы и пла­гины ком­пании, а так­же само ядро движ­ка. Вып­латы скром­ные: не встре­чал наг­рад выше 800 дол­ларов США, и это за кри­тичес­кую уяз­вимость.

Не­офи­циаль­ные баг­баун­ти‑прог­раммы тоже сущес­тву­ют, но пох­вастать­ся извес­тностью или боль­шим ско­упом не может ни одна из них. Исклю­чени­ем мож­но наз­вать раз­ве что Elementor — там пла­тят бод­рее, чем в офи­циаль­ной баг­баун­ти‑прог­рамме WordPress (нап­ример, вып­латили 4000 дол­ларов за при­коль­ную XSS).

Слу­чает­ся, что из‑за скром­ных вып­лат иссле­дова­тели начина­ют при­мерять на себя «чер­ную шля­пу» и про­дают уяз­вимос­ти на сто­рону либо занима­ются взло­мом на заказ. В день­гах это получа­ется гораз­до выгод­нее, хотя и край­не рис­кован­но, пос­коль­ку может пов­лечь пос­ледс­твия юри­дичес­кого харак­тера. Я, естес­твен­но, при­зываю всех работать легаль­но и сда­вать баги вен­дору.

За­тем я рас­ска­зал о ком­пании Patchstack, которая в 2021 году запус­тила уни­каль­ную зак­рытую ББ‑прог­рамму для уяз­вимос­тей в WordPress. В чем зак­лючалась новиз­на это­го решения?

Во‑пер­вых, при­нима­лись баги как в ядре движ­ка, так и в пла­гинах и темах, при­чем и бес­плат­ных, и пре­миум. Во‑вто­рых, попасть в эту ББ‑прог­рамму мож­но было толь­ко по приг­лашению и имея под­твержден­ные уяз­вимос­ти, то есть нович­ков сре­ди учас­тни­ков не было. Тре­тий момент — воз­можность экс­плу­ата­ции недора­ботан­ных пра­вил прог­раммы, чем я сра­зу и занял­ся и что давало воз­можность на про­тяже­нии пяти месяцев оста­вать­ся на пер­вом при­зовом мес­те. На шес­той месяц я уже получил приг­лашение в коман­ду Patchstack, и это откры­ло путь к совер­шенно новому опы­ту в моей жиз­ни.

Вто­рую часть док­лада я уже читал с позиции сот­рудни­ка ком­пании и три­аже­ра, рас­ска­зывая об оче­вид­ных проб­лемах и их решени­ях. Завер­шил док­лад совета­ми, которые при­годят­ся баг­ханте­рам и три­аже­рам. Клю­чевая рекомен­дация — совер­шенс­тво­вать ком­муника­цион­ные скил­лы и общать­ся конс­трук­тивно и ува­житель­но. Эту же мысль, кста­ти, в пос­леду­ющих док­ладах неод­нократ­но озву­чива­ли кол­леги, что явно намека­ет на ее акту­аль­ность.

2. Из багбаунти в пентесты и обратно

• 
  
• 
  Док­ладчик: Алек­сей Томилов
• 
  
• 
  За­пись док­лада
• 
  

Алек­сей — опыт­ный пен­тестер и баг­хантер «ста­рой шко­лы», начав­ший охо­ту за багами еще в кон­це нулевых. Напом­ню, что в те годы никаких ББ‑прог­рамм, в общем‑то, и не сущес­тво­вало, так что при­ходи­лось дей­ство­вать на свой страх и риск. Как это было рань­ше: находишь уяз­вимость, а потом штур­муешь ком­панию со всех сто­рон — от фор­мы обратной свя­зи и тех­ничес­кой под­дер­жки до звон­ков по всем ука­зан­ным номерам телефо­нов. Не сек­рет, что боль­шая часть таких обра­щений ухо­дит в /dev/null/ с подачи сот­рудни­ков ком­пании, и эта зна­комая сер­дцу баг­ханте­ра тра­диция бла­гопо­луч­но дожила до наших дней в пер­воздан­ном виде.