来自另一边的问候。采访漏洞赏金猎人。
本月早些时候,比利时漏洞赏金猎人, Inti De Ceukelaire 披露了一项影响数百家公司的创意黑客攻击。这个技巧涉及利用错误的漏洞 商业逻辑 在流行的帮助台和问题跟踪器中获取访问内联网、社交媒体账户的权限,通常是 Yammer 和 Slack 团队的访问权限。您可以通过以下方式阅读详细信息 Inti 自己的博客文章。提出这个漏洞所需的创造力给我留下了深刻的印象,也对所涉及的过程感到好奇,所以我决定问Inti一些问题,我将与你分享他的答案。
你好 Inti,你能向我们的读者简要介绍一下自己吗?
我是 Inti,Intigriti 和 Hackerone 的漏洞赏金猎人。我住在阿尔斯特(比利时),每天都在打破东西。
上周我读了你的博客文章,内容涉及你此后所谓的 “Ticket Trick”,你发现这个漏洞的创造力给我留下了深刻的印象。你是怎么想出尝试这个技巧的想法的?
我参与漏洞赏金计划,这意味着某些网站会向发现独特漏洞的负责任的安全研究人员提供资金。由于竞争激烈,你需要继续寻找其他人尚未找到的东西。我认为 Slack 是一个有趣的攻击载体,因为它经常保存敏感信息,有时只需要有效的公司电子邮件。于是我拿起啤酒,躺在沙发上,开始考虑所有可能的攻击手段。突然我有了这个疯狂的主意——事实证明它奏效了。我通常会尝试所有想到的东西。尽管这只能起作用几次,但还是有回报的。;-)
作为一个经常在另一边工作、试图保护代码的人,我经常想知道渗透测试会是什么样子。你在哪里工作?空闲时间你也在沙发上做的事情吗?还是你坐在办公室里?
白天我在一家名为 Studio Brussel 的广播电台担任数字创意程序员。它涉及一些编程和一些社交媒体,但没有安全性。我尽量不要把我的爱好与我的专业工作混为一谈。如果我这样做,恐怕我会失去我的创造力。我不经常黑客攻击:每周最多几个小时。它可以放在桌子旁、沙发上或我的床上 —— 无论那一刻什么都舒服。
你是如何开始的?你有备忘单吗?您是否有一些输入可以测试是否有足够的输入验证或输出转义?
我真的很混乱所以我真的没有清单,我只是凭直觉。大多数时候我从一个叫做 recon 的东西开始:列出所有有趣的目标信息、子域名、IP 地址,以及我能找到的所有内容。在我开始黑客攻击之前,我会尝试着从更大的角度看待并理解业务逻辑。如果你只寻找标准的教科书漏洞,你会错过很多更聪明、更复杂的缺陷。在输入方面,我会尽量在一个有效载荷中涵盖尽可能多的漏洞。每当我发现一些有趣的东西时,我都会玩一会儿,然后在里面胡说八道,只是为了看看系统对它有何反应。最好的错误通常可以在网络应用程序中更偏远的部分中找到,所以我会尽量深入地挖掘。
你认为什么才是优秀的渗透测试者?你有什么技巧可以和我们分享吗?
我不是一个渗透测试者,所以我不能真正代表五旬节试探者说话,但我认为动力和毅力是最重要的资产。大多数人甚至不会考虑在谷歌中寻找安全漏洞,因为他们拥有世界上最好的工程师,但他们每年支付数百万美元的漏洞赏金。我研究目标已有 2 年多了,现在我开始研究真正有趣的错误了。这需要一段时间。普通渗透测试的问题在于,无论测试人员是否发现严重漏洞,他们都会获得一定金额的奖励。我相信Facebook中还有很多错误,只需要一个愿意深入挖掘的人即可。
当你意识到 Ticket Trick 的规模时,你首先想到的是什么?
我有喜忧参半的感觉。我感到惊讶,立刻想到了我可以用它收集的漏洞赏金,但另一方面,我对这是可能的感到震惊。每当你发现这样的东西时,你就会突然拥有许多恶意方会非常感兴趣的宝贵信息。披露过程很艰难:你需要通知尽可能多的受影响的公司,但另一方面,你需要确保信息不会被泄露或滥用。
你为什么决定在收集更多赏金之前发布信息?
做正确的事情比收集赏金更重要。我想我有应得的份额,现在想回馈社区。此外,我几个月来一直在向公司通报这个问题,所以越来越多的人知道这个问题。我不希望它被有恶意的人泄露或滥用。
你对受影响公司的回应有何看法?
大多数答复都令人满意。有些公司并不真正关心这个问题,但归根结底,这是他们的损失。作为安全研究人员被拒绝是游戏的一部分。至少我没有受到任何诉讼。十年前,情况可能就是这样。
最后一个问题,我在reddit上读到你申请了8,000美元的漏洞赏金,你有什么很酷的计划来花这笔钱吗?
总的来说,我从这个错误中获得了超过20,000美元。其中一半以上用于税收。剩下的时间我花在普通的事情上,比如旅行、出去吃晚饭... 没什么疯狂的。:-)
非常感谢你抽出宝贵时间,祝你将来狩猎好运!
该错误仍然存在。这不是可以立即修复的问题。在过去的几个月中,作为漏洞赏金计划的一部分,我联系了数十家公司和受影响的供应商,以修复他们的设置。
Application Security Researcher - R&D Engineer - PhD Candidate
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Application Security Researcher - R&D Engineer - PhD Candidate
本月早些时候,比利时漏洞赏金猎人, Inti De Ceukelaire 披露了一项影响数百家公司的创意黑客攻击。这个技巧涉及利用错误的漏洞 商业逻辑 在流行的帮助台和问题跟踪器中获取访问内联网、社交媒体账户的权限,通常是 Yammer 和 Slack 团队的访问权限。您可以通过以下方式阅读详细信息 Inti 自己的博客文章。提出这个漏洞所需的创造力给我留下了深刻的印象,也对所涉及的过程感到好奇,所以我决定问Inti一些问题,我将与你分享他的答案。
你好 Inti,你能向我们的读者简要介绍一下自己吗?
我是 Inti,Intigriti 和 Hackerone 的漏洞赏金猎人。我住在阿尔斯特(比利时),每天都在打破东西。
上周我读了你的博客文章,内容涉及你此后所谓的 “Ticket Trick”,你发现这个漏洞的创造力给我留下了深刻的印象。你是怎么想出尝试这个技巧的想法的?
我参与漏洞赏金计划,这意味着某些网站会向发现独特漏洞的负责任的安全研究人员提供资金。由于竞争激烈,你需要继续寻找其他人尚未找到的东西。我认为 Slack 是一个有趣的攻击载体,因为它经常保存敏感信息,有时只需要有效的公司电子邮件。于是我拿起啤酒,躺在沙发上,开始考虑所有可能的攻击手段。突然我有了这个疯狂的主意——事实证明它奏效了。我通常会尝试所有想到的东西。尽管这只能起作用几次,但还是有回报的。;-)
作为一个经常在另一边工作、试图保护代码的人,我经常想知道渗透测试会是什么样子。你在哪里工作?空闲时间你也在沙发上做的事情吗?还是你坐在办公室里?
白天我在一家名为 Studio Brussel 的广播电台担任数字创意程序员。它涉及一些编程和一些社交媒体,但没有安全性。我尽量不要把我的爱好与我的专业工作混为一谈。如果我这样做,恐怕我会失去我的创造力。我不经常黑客攻击:每周最多几个小时。它可以放在桌子旁、沙发上或我的床上 —— 无论那一刻什么都舒服。
你是如何开始的?你有备忘单吗?您是否有一些输入可以测试是否有足够的输入验证或输出转义?
我真的很混乱所以我真的没有清单,我只是凭直觉。大多数时候我从一个叫做 recon 的东西开始:列出所有有趣的目标信息、子域名、IP 地址,以及我能找到的所有内容。在我开始黑客攻击之前,我会尝试着从更大的角度看待并理解业务逻辑。如果你只寻找标准的教科书漏洞,你会错过很多更聪明、更复杂的缺陷。在输入方面,我会尽量在一个有效载荷中涵盖尽可能多的漏洞。每当我发现一些有趣的东西时,我都会玩一会儿,然后在里面胡说八道,只是为了看看系统对它有何反应。最好的错误通常可以在网络应用程序中更偏远的部分中找到,所以我会尽量深入地挖掘。
你认为什么才是优秀的渗透测试者?你有什么技巧可以和我们分享吗?
我不是一个渗透测试者,所以我不能真正代表五旬节试探者说话,但我认为动力和毅力是最重要的资产。大多数人甚至不会考虑在谷歌中寻找安全漏洞,因为他们拥有世界上最好的工程师,但他们每年支付数百万美元的漏洞赏金。我研究目标已有 2 年多了,现在我开始研究真正有趣的错误了。这需要一段时间。普通渗透测试的问题在于,无论测试人员是否发现严重漏洞,他们都会获得一定金额的奖励。我相信Facebook中还有很多错误,只需要一个愿意深入挖掘的人即可。
当你意识到 Ticket Trick 的规模时,你首先想到的是什么?
我有喜忧参半的感觉。我感到惊讶,立刻想到了我可以用它收集的漏洞赏金,但另一方面,我对这是可能的感到震惊。每当你发现这样的东西时,你就会突然拥有许多恶意方会非常感兴趣的宝贵信息。披露过程很艰难:你需要通知尽可能多的受影响的公司,但另一方面,你需要确保信息不会被泄露或滥用。
你为什么决定在收集更多赏金之前发布信息?
做正确的事情比收集赏金更重要。我想我有应得的份额,现在想回馈社区。此外,我几个月来一直在向公司通报这个问题,所以越来越多的人知道这个问题。我不希望它被有恶意的人泄露或滥用。
你对受影响公司的回应有何看法?
大多数答复都令人满意。有些公司并不真正关心这个问题,但归根结底,这是他们的损失。作为安全研究人员被拒绝是游戏的一部分。至少我没有受到任何诉讼。十年前,情况可能就是这样。
最后一个问题,我在reddit上读到你申请了8,000美元的漏洞赏金,你有什么很酷的计划来花这笔钱吗?
总的来说,我从这个错误中获得了超过20,000美元。其中一半以上用于税收。剩下的时间我花在普通的事情上,比如旅行、出去吃晚饭... 没什么疯狂的。:-)
非常感谢你抽出宝贵时间,祝你将来狩猎好运!
该错误仍然存在。这不是可以立即修复的问题。在过去的几个月中,作为漏洞赏金计划的一部分,我联系了数十家公司和受影响的供应商,以修复他们的设置。
本月早些时候,比利时漏洞赏金猎人, Inti De Ceukelaire 披露了一项影响数百家公司的创意黑客攻击。这个技巧涉及利用错误的漏洞 商业逻辑 在流行的帮助台和问题跟踪器中获取访问内联网、社交媒体账户的权限,通常是 Yammer 和 Slack 团队的访问权限。您可以通过以下方式阅读详细信息 Inti 自己的博客文章。提出这个漏洞所需的创造力给我留下了深刻的印象,也对所涉及的过程感到好奇,所以我决定问Inti一些问题,我将与你分享他的答案。
你好 Inti,你能向我们的读者简要介绍一下自己吗?
我是 Inti,Intigriti 和 Hackerone 的漏洞赏金猎人。我住在阿尔斯特(比利时),每天都在打破东西。
上周我读了你的博客文章,内容涉及你此后所谓的 “Ticket Trick”,你发现这个漏洞的创造力给我留下了深刻的印象。你是怎么想出尝试这个技巧的想法的?
我参与漏洞赏金计划,这意味着某些网站会向发现独特漏洞的负责任的安全研究人员提供资金。由于竞争激烈,你需要继续寻找其他人尚未找到的东西。我认为 Slack 是一个有趣的攻击载体,因为它经常保存敏感信息,有时只需要有效的公司电子邮件。于是我拿起啤酒,躺在沙发上,开始考虑所有可能的攻击手段。突然我有了这个疯狂的主意——事实证明它奏效了。我通常会尝试所有想到的东西。尽管这只能起作用几次,但还是有回报的。;-)
作为一个经常在另一边工作、试图保护代码的人,我经常想知道渗透测试会是什么样子。你在哪里工作?空闲时间你也在沙发上做的事情吗?还是你坐在办公室里?
白天我在一家名为 Studio Brussel 的广播电台担任数字创意程序员。它涉及一些编程和一些社交媒体,但没有安全性。我尽量不要把我的爱好与我的专业工作混为一谈。如果我这样做,恐怕我会失去我的创造力。我不经常黑客攻击:每周最多几个小时。它可以放在桌子旁、沙发上或我的床上 —— 无论那一刻什么都舒服。
你是如何开始的?你有备忘单吗?您是否有一些输入可以测试是否有足够的输入验证或输出转义?
我真的很混乱所以我真的没有清单,我只是凭直觉。大多数时候我从一个叫做 recon 的东西开始:列出所有有趣的目标信息、子域名、IP 地址,以及我能找到的所有内容。在我开始黑客攻击之前,我会尝试着从更大的角度看待并理解业务逻辑。如果你只寻找标准的教科书漏洞,你会错过很多更聪明、更复杂的缺陷。在输入方面,我会尽量在一个有效载荷中涵盖尽可能多的漏洞。每当我发现一些有趣的东西时,我都会玩一会儿,然后在里面胡说八道,只是为了看看系统对它有何反应。最好的错误通常可以在网络应用程序中更偏远的部分中找到,所以我会尽量深入地挖掘。
你认为什么才是优秀的渗透测试者?你有什么技巧可以和我们分享吗?
我不是一个渗透测试者,所以我不能真正代表五旬节试探者说话,但我认为动力和毅力是最重要的资产。大多数人甚至不会考虑在谷歌中寻找安全漏洞,因为他们拥有世界上最好的工程师,但他们每年支付数百万美元的漏洞赏金。我研究目标已有 2 年多了,现在我开始研究真正有趣的错误了。这需要一段时间。普通渗透测试的问题在于,无论测试人员是否发现严重漏洞,他们都会获得一定金额的奖励。我相信Facebook中还有很多错误,只需要一个愿意深入挖掘的人即可。
当你意识到 Ticket Trick 的规模时,你首先想到的是什么?
我有喜忧参半的感觉。我感到惊讶,立刻想到了我可以用它收集的漏洞赏金,但另一方面,我对这是可能的感到震惊。每当你发现这样的东西时,你就会突然拥有许多恶意方会非常感兴趣的宝贵信息。披露过程很艰难:你需要通知尽可能多的受影响的公司,但另一方面,你需要确保信息不会被泄露或滥用。
你为什么决定在收集更多赏金之前发布信息?
做正确的事情比收集赏金更重要。我想我有应得的份额,现在想回馈社区。此外,我几个月来一直在向公司通报这个问题,所以越来越多的人知道这个问题。我不希望它被有恶意的人泄露或滥用。
你对受影响公司的回应有何看法?
大多数答复都令人满意。有些公司并不真正关心这个问题,但归根结底,这是他们的损失。作为安全研究人员被拒绝是游戏的一部分。至少我没有受到任何诉讼。十年前,情况可能就是这样。
最后一个问题,我在reddit上读到你申请了8,000美元的漏洞赏金,你有什么很酷的计划来花这笔钱吗?
总的来说,我从这个错误中获得了超过20,000美元。其中一半以上用于税收。剩下的时间我花在普通的事情上,比如旅行、出去吃晚饭... 没什么疯狂的。:-)
非常感谢你抽出宝贵时间,祝你将来狩猎好运!
该错误仍然存在。这不是可以立即修复的问题。在过去的几个月中,作为漏洞赏金计划的一部分,我联系了数十家公司和受影响的供应商,以修复他们的设置。
本月早些时候,比利时漏洞赏金猎人, Inti De Ceukelaire 披露了一项影响数百家公司的创意黑客攻击。这个技巧涉及利用错误的漏洞 商业逻辑 在流行的帮助台和问题跟踪器中获取访问内联网、社交媒体账户的权限,通常是 Yammer 和 Slack 团队的访问权限。您可以通过以下方式阅读详细信息 Inti 自己的博客文章。提出这个漏洞所需的创造力给我留下了深刻的印象,也对所涉及的过程感到好奇,所以我决定问Inti一些问题,我将与你分享他的答案。
你好 Inti,你能向我们的读者简要介绍一下自己吗?
我是 Inti,Intigriti 和 Hackerone 的漏洞赏金猎人。我住在阿尔斯特(比利时),每天都在打破东西。
上周我读了你的博客文章,内容涉及你此后所谓的 “Ticket Trick”,你发现这个漏洞的创造力给我留下了深刻的印象。你是怎么想出尝试这个技巧的想法的?
我参与漏洞赏金计划,这意味着某些网站会向发现独特漏洞的负责任的安全研究人员提供资金。由于竞争激烈,你需要继续寻找其他人尚未找到的东西。我认为 Slack 是一个有趣的攻击载体,因为它经常保存敏感信息,有时只需要有效的公司电子邮件。于是我拿起啤酒,躺在沙发上,开始考虑所有可能的攻击手段。突然我有了这个疯狂的主意——事实证明它奏效了。我通常会尝试所有想到的东西。尽管这只能起作用几次,但还是有回报的。;-)
作为一个经常在另一边工作、试图保护代码的人,我经常想知道渗透测试会是什么样子。你在哪里工作?空闲时间你也在沙发上做的事情吗?还是你坐在办公室里?
白天我在一家名为 Studio Brussel 的广播电台担任数字创意程序员。它涉及一些编程和一些社交媒体,但没有安全性。我尽量不要把我的爱好与我的专业工作混为一谈。如果我这样做,恐怕我会失去我的创造力。我不经常黑客攻击:每周最多几个小时。它可以放在桌子旁、沙发上或我的床上 —— 无论那一刻什么都舒服。
你是如何开始的?你有备忘单吗?您是否有一些输入可以测试是否有足够的输入验证或输出转义?
我真的很混乱所以我真的没有清单,我只是凭直觉。大多数时候我从一个叫做 recon 的东西开始:列出所有有趣的目标信息、子域名、IP 地址,以及我能找到的所有内容。在我开始黑客攻击之前,我会尝试着从更大的角度看待并理解业务逻辑。如果你只寻找标准的教科书漏洞,你会错过很多更聪明、更复杂的缺陷。在输入方面,我会尽量在一个有效载荷中涵盖尽可能多的漏洞。每当我发现一些有趣的东西时,我都会玩一会儿,然后在里面胡说八道,只是为了看看系统对它有何反应。最好的错误通常可以在网络应用程序中更偏远的部分中找到,所以我会尽量深入地挖掘。
你认为什么才是优秀的渗透测试者?你有什么技巧可以和我们分享吗?
我不是一个渗透测试者,所以我不能真正代表五旬节试探者说话,但我认为动力和毅力是最重要的资产。大多数人甚至不会考虑在谷歌中寻找安全漏洞,因为他们拥有世界上最好的工程师,但他们每年支付数百万美元的漏洞赏金。我研究目标已有 2 年多了,现在我开始研究真正有趣的错误了。这需要一段时间。普通渗透测试的问题在于,无论测试人员是否发现严重漏洞,他们都会获得一定金额的奖励。我相信Facebook中还有很多错误,只需要一个愿意深入挖掘的人即可。
当你意识到 Ticket Trick 的规模时,你首先想到的是什么?
我有喜忧参半的感觉。我感到惊讶,立刻想到了我可以用它收集的漏洞赏金,但另一方面,我对这是可能的感到震惊。每当你发现这样的东西时,你就会突然拥有许多恶意方会非常感兴趣的宝贵信息。披露过程很艰难:你需要通知尽可能多的受影响的公司,但另一方面,你需要确保信息不会被泄露或滥用。
你为什么决定在收集更多赏金之前发布信息?
做正确的事情比收集赏金更重要。我想我有应得的份额,现在想回馈社区。此外,我几个月来一直在向公司通报这个问题,所以越来越多的人知道这个问题。我不希望它被有恶意的人泄露或滥用。
你对受影响公司的回应有何看法?
大多数答复都令人满意。有些公司并不真正关心这个问题,但归根结底,这是他们的损失。作为安全研究人员被拒绝是游戏的一部分。至少我没有受到任何诉讼。十年前,情况可能就是这样。
最后一个问题,我在reddit上读到你申请了8,000美元的漏洞赏金,你有什么很酷的计划来花这笔钱吗?
总的来说,我从这个错误中获得了超过20,000美元。其中一半以上用于税收。剩下的时间我花在普通的事情上,比如旅行、出去吃晚饭... 没什么疯狂的。:-)
非常感谢你抽出宝贵时间,祝你将来狩猎好运!
该错误仍然存在。这不是可以立即修复的问题。在过去的几个月中,作为漏洞赏金计划的一部分,我联系了数十家公司和受影响的供应商,以修复他们的设置。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
