反対側からこんにちは。バグバウンティハンターへのインタビュー。
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
バグはまだ残っています。これはすぐに直せるものではない。過去数か月にわたって、バグ報奨金プログラムの一環として、何十もの企業や影響を受けたベンダーに連絡を取り、セットアップを修正してもらいました。
アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Table des matières
アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
