BugHunters Companies Targets Bug Reports Blog About
فا
BugHuntersCompaniesTargetsBug ReportsAbout
فاLogin Sign Up
This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
در باگ پارتی؛ جریان باگ بانتی

در باگ پارتی؛ جریان باگ بانتی

13

بارها و بارها راجع به باگ بانتی، خرد جمعی، شکارچیان آسیب پذیری و ... گفته‌ایم و نوشته‌ایم. باگ پارتی، رویدادی بود که می‌شد در آن از نمای نزدیک‌تر و با جزئیات بیشتر به تماشای آن‌چه که گفته‌ایم و نوشته‌ایم، نشست. باگ بانتی‌ این بار فقط  در صفحه‌‌ی مانیتورها خلاصه نمی‌شد. بازیگران اصلی باگ بانتی، این بار در باگ پارتی حضور داشتند و این جریان را به شکل دیگری رقم می‌زدند؛ شکارچیان آسیب پذیری، نمایندگان میدان‌ها (کسب‌وکارها) و اعضای تیم پلتفرم باگ بانتی. جریانی که تماشایی بود. 

آن‌چه در این بلاگ‌پست خواهید خواند: 

انگار در خود باگ بانتی هستید! 

اهداف چطور بودند؟ 

شکارچیان آسیب پذیری در حال شکار 

این بلاگ‌پست حاصل کنارهم قراردادن گپ‌و‌گفت‌هایی ست که در طول رویداد باگ پارتی با برخی از شکارچیان آسیب پذیری حاضر داشته‌ایم. در این بلاگ‌پست گفته‌هایی از شکارچیان آسیب پذیری را خواهید خواند که راجع به روند باگ بانتی، اهداف و آسیب پذیری های شکارشده در باگ پارتی گفته‌اند.

گفته‌هایی از:

آیلین همایونی، هادی پات، حسین محمدیان، ایلیا کشتکار، زهرا، عرفان توکلی، محمدرضا عمرانی، نیما غلامی و مهدی حسینی 

انگار در خود ماجرا هستید! 

باگ پارتی، نمودی عینی از باگ بانتی ست. در باگ پارتی، گویی در وسط جریان باگ بانتی ایستاده‌اید.  

آیلین همایونی: 

در کل جو طوری است که این حس را می دهد که انگار در خود ماجرا هستیم. چون معمولا شغل هایی مثل شغل ما که با کامپیوتر سروکار دارند (چه در محیط خانه یا محل کار) کمی فضای خشکی دارند. من معمولا خودم سعی می کنم در کنارش حس و حالی را ایجاد کنم. اینجا از این نظر، خیلی خوب است. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب پذیری؛ آیلین همایونی 

هادی پات: 

روال عادی در پلتفرم باگ بانتی راورو این گونه است که وقتی یک گزارش آسیب پذیری را ثبت می‌کنیم، بعدش باید انتظار بکشیم. مثلا یک هفته منتظر بمانیم تا ببینیم که آسیب پذیری تایید می‌شود یا نه. ولی در باگ پارتی می‌بینی که داورها بلافاصله پس از ثبت گزارش، شروع به بررسی آن می‌کنند. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ هادی پات 

حسین محمدیان: 

این خیلی نکته‌ی مهمی در این رویداد بود. وقتی به‌عنوان یک شکارچی آسیب پذیری به‌صورت Remote (و دورکار) روی برنامه‌های باگ بانتی، کار می‌کنی، متفاوت است. نمی‌شود ارتباط مستقیمی با داورها داشت. اما در باگ پارتی می‌شد و واقعا نکته‌ی خیلی مثبتی بود. مخصوصا خانم سلیمان، خیلی زحمت کشیدند و بسیار حضور موثری داشتند. من هر جایی که سوالی داشتم یا می‌خواستم با داوران محترم ارتباط داشته باشم، ایشان هماهنگی‌های لازم را انجام می‌داند و زمانی را فراهم می‌کردند. من می‌توانستم از داوران بپرسم که اصلا چیزی که تا این‌جا به آن رسیده‌ام، valid و معتبر است؟ آیا وقت بیشتری به آن اختصاص دهم یا نه؟ این واقعا ارتباط خوب و موثری بود. به شخصه برای من، خیلی نکته‌ی مثبتی بود. 

روندی که این‌جا می‌گذشت، با چیزی که در خانه‌ی خودم و بقیه‌ی بچه‌ها انجام می‌دهیم، بسیار تفاوت داشت. آن وایبی که در فضای باگ پارتی جریان داشت، خیلی وایب خوب و خفنی بود. مثلا موقعی که خسته می‌شدی و سرت را روی میز می‌گذاشتی، وقتی سرت را بالا می‌آوردی، می‌دیدی که همه با انرژی زیادی مشغول هستند و دارند سعی می‌کنند تا آسیب پذیری کشف کنند. واقعا هم انرژی جمع را دریافت می‌کردی و رویت اثر می‌گذاشت. این‌که می‌دیدی که تعداد زیادی آدم دارند دقیقا در همان فیلدی که تو کار می‌کنی، کار می‌کنند و زحمت می‌کشند، حس خوبی داشت. فضا هم واقعا عالی بود؛ هم از لحاظ بستری که برای ارتباط گرفتن وجود داشت، هم ... . 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ حسین محمدیان 

ایلیا کشتکار: 

 ما در باگ پارتی شاهد این بودیم که یک سری از بچه ها از بعضی بخش‌ها، راحت‌تر گذر کردند. ولی یک نفر دیگر (که میز جلویی ما هم بود) سر همان بخش‌ها ایستاد، دقیق‌تر چک کرد و یک آسیب پذیری کشف کرد. با سمج‌بودنش شروع کرد به ارسال یک سری پیلودها که نتیجه داد. به نظرم این خیلی مهم است. در باگ بانتی یک ویژگی اخلاقی کمک‌کننده این است که سمج باشی. با خودت بگویی:" آقا من باید این آسیب پذیری را پیدا کنم." این خیلی مهم است که ناامید نشوی. 

پیشنهاد خواندنی: گپ‌وگفتی با دو شکارچی آسیب‌پذیری؛ ایلیا کشتکار و مهدی حسینی 

اهداف چه طور بودند؟ 

در لیست کسب‌وکارهایی که سامانه‌های خود را با هدف کشف آسیب پذیری به باگ پارتی آورده‌اند، نام 6 کسب‌وکار به چشم می‌خورند. هر کسب‌وکار، یک یا چندین هدف مشخص کرده بود. اهداف، به نوبت و در طول چند روز رویداد، به لیست اهداف اضافه می‌شدند. از شکارچیان آسیب پذیری حاضر در باگ پارتی، راجع به اهداف پرسیدیم و پاسخ‌های آن‌ها را شنیدیم. 

زهرا: 

اهدافی روز اول، مثل چارگون و این‌ها، برای ما آشناتر و ملموس‌تر بود. چون برای سامانه‌های مشابهش تست نفوذ انجام داده بودیم. اما اهداف مربوط به بانک و بیمه خیلی برایمان آشنا نبودند. چون حوزه کاریمان نبودند و تجربه‌اش را نداشتیم.   

عملکرد میدان‌ها و کسب‌وکارها برای من خیلی جذاب بود. تیم SOC که در پشت صحنه‌ی بعضی کسب‌وکارها مشغول بودند و خیلی خوب مدیریت می‌کردند. وقتی یک آسیب پذیری به دستشان می‌رسید، سریع پچش می‌کردند. مثلا وقتی امروز، آسیب پذیری‌ای که دیروز وجود داشت را چک می‌کردی، می‌دیدی که رفع شده است و دیگر وجود ندارد. احتمالا ترافیک را هم تحت نظر دارند. و مثلا اگر بینند که فلان جا ترافیک زیادی دارد می‌آید، کارشناس‌هایشان با تمرکز بیشتری به بررسی آسیب پذیری هایش می‌پردازند.  

در مورد یکی از اهداف، این‌گونه بود که کد ملی مدیرعاملش در بین دیتاهای داخل اینترنت، موجود بود و مدیرعامل از کدملی‌اش به‌عنوان رمز عبور حساب کاربری‌اش استفاده کرده بود. شکارچی آسیب پذیری هم از همین طریق توانسته بود وارد حسابش شود. ما در تست نفوذ سازمان‌های دیگر هم، چندین بار شاهد این مورد بوده‌ایم. اکثر کسب‌وکارهای بزرگ، اطلاعات اعضایشان به راحتی در اینترنت قابل پیدا کردن است. خود سایت رسمیو منبعی برای این کار است. من فکر می‌کنم لازم است به این نکات خیلی توجه شود. نیاز است سازمان‌ها، آموزش بیشتری در زمینه‌ی رفتارهای امن داشته باشند و برای کارکنانشان هم آگاهی‌رسانی کنند. افراد باید بدانند که ممکن است چه سوءاستفاده‌هایی از دیتایشان صورت بگیرد و لازم است از دیتایشان مراقبت کنند و رمزعبور مناسب‌تری انتخاب کنند.  

من شاهد این این بوده‌ام که در بسیاری از سایت‌های دانشگاه‌ها، سیستم های اتوماسیون اداری و ... افراد از کد ملی، شماره موبایل یا موارد دیگر به‌عنوان رمزعبور استفاده می‌کنند. از آن طرف هم این اطلاعات به‌راحتی در اینترنت یافت می‌شوند. ما با کمک این روش، آسیب پذیری Account Take over هم ثبت کرده‌ایم.  

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ زهرا حسین محمدیان: 

در میان اهداف روز اول، هدف اولی که ارائه شد، چارگون بود. من یه مقدار در آن گم شدم. که به خاطر تجربه‌ی خودم و این‌ بود که دانش تست‌کردن آن نوع از اپلیکیشن را از قبل نداشتم. حتی تسلیم شده بودم و با خودم گفتم که کلا کار نمی‌کنم. خوشبختانه منتظر ماندم و اهداف بعدی، به نسبت برای من بهتر بودند. به غیر از چارگون، همه‌ی اهداف بعدی خوب و روان‌ بود.  

روز دوم، اهداف خیلی بهتر بودند. یکی از اهداف (که انتظار چندانی از آسیب‌پذیربودنش نداشتیم) اضافه شد و تقریبا 20 دقیقه پس از بازشدن هدف، یکی از شکارچیان آسیب پذیری داخل سالن یک آسیب پذیری در سطح critical (حیاتی) از آن کشف کرد! کشف این آسیب پذیری در زمان کوتاه، انرژی همه را بالا برد و آن پیش‌فرض و طرزتفکری که شاید چنین سامانه‌ای آسیب پذیر نباشد، را شکست.   

اهداف روز سوم هم اوکی بودند. اگر بخواهم به‌طور جزئی‌تر بگویم، واقعا خیلی خوب بودند. واقعا گسترده بودند، نقاط مختلفی برای تست داشتند، می‌شد تست‌کیس‌های مختلفی را پیاده کرد و ... .   

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ حسین محمدیان 

عرفان توکلی: 

اهداف هم اهداف نسبتا خوبی بوده‌اند. هر کدام از اهداف بالا‌وپایین‌هایی داشت. برخی اهداف خیلی خوب بودند و برخی خیلی ضعیف. یک سری کم‌وکاستی‌هایی هم داشته‌اند. در برخی اهداف، سایت اصلا بالا نمی‌آمد یا برخی فیچر‌هایی که داشت، غیرفعال بود و این جور داستان‌ها. خب وقتی سایت بالا نمی‌آید چطور بررسی‌اش کنیم؟ چطور تست کنیم؟ یکی از باگ‌ها این است که خود سایت اصلا بالا نمی‌آید که بخواهیم تستش کنیم. ولی خب باز هم برگزاری این رویداد، واقعا پیشرفت خیلی خوبی ست.   

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ عرفان توکلی 

محمدرضا عمرانی: 

مواردی وجود داشتند که شرکت‌کنندگان را تاحدی اذیت می‌کردند. بعضی اهداف، بالا نبودند یا برای بعضی دسترسی‌ها محدودیت وجود داشت. به عنوان مثال؛ اگر یک هدف بانکی برای بررسی ما شکارچیان آسیب پذیری وجود دارد، خب ما باید برای بعضی بررسی‌ها در آن بانک حساب داشته باشیم. اگر در آن بانک حساب نداشته باشیم، یک سری تست‌ها را از دست می‌دهیم. فرایند افتتاح حساب و احراز هویت هم معمولا چند ساعتی زمان می‌برد و این‌گونه ما در چنین رویدادی، زمان زیادی را از دست می‌دهیم. البته متوجهم که چون رویداد حضوری است، مشکلات زیادی هم ممکن است به وجود بیاید، که طبیعی است.   

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ محمدرضا عمرانی 

شکارچیان آسیب پذیری در حال شکار 

چشمان‌ 70 شکارچی آسیب پذیری، متمرکز بر سامانه‌ی کسب‌وکارها بودند. خرد جمعی و تنوع شکارچیان آسیب پذیری، که از مزیت‌های باگ بانتی شمرده می‌شوند، به وضوح مشاهده می‌شدند. هر شکارچی، به سراغ بخشی از سامانه می‌رفت. او از دیدگاه خود، که برخاسته از تجربیاتش بود، به سامانه می‌نگریست و به روش خود به دنبال شکار می‌گشت. از برخی شکارچیان آسیب پذیری، کمی بیشتر راجع به آسیب پذیری هایی که کشف کرده بودند، پرسیدیم. 

نیما غلامی: 

یک گزارش از آسیب پذیری Sroted xss ثبت کرده‌ام. این آسیب پذیری در قسمت آپلود فایل بوده، که از طریق آپلود فایل PDF می‌توانستم آسیب پذیری Stored xss را کشف کنم . گزارشم دو ساعتی ست که در دست بررسی است. آسیب پذیری موردعلاقه‌ام هم XSS است. به همین خاطر در باگ پارتی هم، اول همین آسیب پذیری را بررسی کرده‌ام. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ نیما غلامی 

آیلین همایونی: 

من معمولا علاقه ندارم که که مطابق یک سیر مشخص در تست نفوذ جلو بروم و خودم را در یک قالب در نظر بگیرم. چون ذهنم تک بعدی می‌شود. خیلی هم علاقه دارم که از بیرون اطلاعات جمع کنم.  

شرایط این طور بود که ما اکانت نداشتیم. با خودم گفتم خب ما اکانت لازم داریم. چه کار می‌توانم بکنم؟ در ایران اوضاع جوری است که که می‌توان دیتا پیدا کرد. من هم این را می‌دانستم و توانستم دیتایی مرتبط با اعضای آن کسب‌وکار را پیدا کنم که به کارم آمد و جواب داد. بالاخره از هر اطلاعاتی می‌شود استفاده‌هایی کرد. بعدش که سیر را مرور می‌کردم، خودم هم لذت می‌بردم. البته قبلا هم تجربه‌های مشابهی داشته‌ام که توانسته‌ام دیتای مربوط به اعضای کسب‌وکار را به راحتی در اینترنت پیدا و از آن استفاده کنم. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب پذیری؛ آیلین همایونی 

هادی پات: 

من وقت زیادی برای بررسی هدف، گذاشتم. سعی کردم بر اساس عملکردی که دارد، بررویش کار کنم. براساس تجربه‌ام و کارهای قبلی‌ام؛ وقتم را روی مواردی گذاشتم که احتمال بیشتری می‌دادم که آسیب پذیر باشند. به همین دلیل، امید زیادی دارم که آسیب پذیری‌هایی که گزارش کرده‌ام، تایید و پذیرفته شوند. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ هادی پات 

ایلیا کشتکار و مهدی حسینی: 

ما تا الان 3 گزارش آسیب پذیری ثبت کرده‌ایم. با هم روی این آسیب پذیری ها کار کردیم. منتظر هستیم تا سه آسیب پذیری دیگری که باهم کار کردیم، هم تایید شوند. یکی از آن‌ها SMS Bombing و یکی دیگر Information Disclosure بود. دو مورد دیگر هم بود که الان دقیق خاطرم نیست. 

پیشنهاد خواندنی: گپ‌وگفتی با دو شکارچی آسیب‌پذیری؛ ایلیا کشتکار و مهدی حسینی 

سخن آخر:  

در باگ پارتی، این باگ بانتی بود که جریان داشت. جریانی که میان شکارچیان آسیب پذیری، اهداف، کسب‌وکارها و پلتفرم باگ بانتی، اتفاق می‌افتاد. هر چه بود، باگ بانتی بود، منتها این بار، کمی زنده‌تر.  

بلاگ‌پست‌های مرتبط: 

در باگ پارتی چه گذشت؟  

 در باگ پارتی؛ شبکه‌سازی، یادگیری و پویایی  

در باگ پارتی؛ شکار تیمی 

در باگ پارتی؛ گزارش‌های آسیب‌پذیری 

کافه روز صفر 1 

کافه روز صفر ۲؛ شکارگاه

Ravro

"Ravro" is a Kurdish word that means professional hunter.
We, in Ravro, try to provide the best cybersecurity solutions for businesses in order to decrease their cybersecurity challenges especially weaknesses. Ravro tries to make communication between BugHunters & Businesses easier for a safer future.

Subscription

To receive latest Ravro's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.