Hallo von der anderen Seite. Interview mit einem Käfer-Kopfgeldjäger.
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Table des matières
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
