Моє перше приватне запрошення для Bug Bounty — справжня гра починається

Моя перша приватна запрошення для Bug Bounty — справжня гра починається

pic

Кілька днів тому щось велике потрапило в мою пошту:

“Вас запросили взяти участь у приватній програмі Bug Bounty!”

Чорт, це воно. Моє перше приватне запрошення — це те, чого чекає кожен мисливець за багами. На відміну від публічних програм, де будь-хто може приєднатися, приватні програми є *ексклюзивними** і тільки за запрошенням. Потрапивши в таку програму, я зрозумів, що мою попередню роботу визнано, і тепер я маю доступ до цінних активів.

Я зрозумів одне — це серйозна можливість, і я не планую її марнувати.

Полювання починається — XSS у дикій природі

Потрапивши в програму, я слідував звичному процесу ручного розвідки:

Пасивний OSINT та Google Dorking — Шукаю приховані кінцеві точки.
Аналіз JS — Шукаю цікаві параметри.
Тестування на ін’єкції — Перевірка на наявність точок для ін’єкцій.

Через кілька годин я знайшов кінцеву точку пошуку, яка виглядала вразливою. Через кілька тестів — Бінго.

pic

Payload, який зробив свою справу

">

pic

Бум. Скрипт виконався. XSS, відображений, підтверджено. Наслідки? Перехоплення сесії, крадіжка облікових даних та ризики захоплення облікового запису.

Я зафіксував усе, створив міцний доказ концепції (PoC) і відправив свій звіт.

Неочікуваний поворот — Дубль!

Перемотавши на два дні — отримав оновлення. Серце забилося швидше, я перевіряю повідомлення…

“Ваш звіт позначено як дубль.”

pic

Що? Це було боляче. Після ретельного аналізу я зрозумів:

  • Попередній звіт стосувався DOM-основного XSS на іншому піддомені.
  • Мій звіт стосувався відображеного XSS на іншій кінцевій точці з іншим вектором атаки.

Технічно це не була та сама проблема.

Я подав апеляцію, навівши чіткі технічні відмінності, але після перегляду вердикт залишився — дубль.

pic

Уроки, які я отримав — Мислення хакера

Добре, не буду брехати — це боляче. Але ось що я зрозумів:

  • Отримати приватне запрошення — вже перемога. Це означає, що я йду правильним шляхом.
  • Дублікати трапляються. Як уникнути їх? Будь швидшим.
  • Кожен звіт дає урок. Цей зміцнив моє розуміння того, як критично важлива диференціація кінцевих точок.
  • Йти вперед. Завжди є ще одна уразливість, яку треба знайти.

Що далі?

Після рішення про дубль я не зупинився. Я продовжував тестувати і незабаром знайшов ще один дійсний баг, який був прийнятий. Ось така гра — отримуєш удари, вчишся з них і продовжуєш хакувати.

Це тільки початок. До наступної мети. 🔥

Для співпраці, обміну думками або обговорень, не соромтесь зв’язуватись зі мною на LinkedIn, Twitter або Instagram.

Перекладено з: My First Private Bug Bounty Invitation — The Real Game Begins

Вам також може сподобатися

Ввід, Час, Подвоєне буферизування
Асинхронний квест з Ruby on Rails: Посібник з жартами для тата
Атрибути в Laravel: Що під капотом.