其他
白天做安全,晚上去挖洞
Q:请做个自我介绍。
K:我叫 Kaung Htet Aung,在 HackerOne 平台上的昵称是 @ris,所以人们都叫我 Ris。我来自缅甸,不过在新加坡已经居住了12年左右。我在 Gitlab 当全职安全工程师,工作之外也挖掘漏洞。S:我是 Samuel,我生于新加坡长于新加坡。我在 HackerOne 上的昵称是 @samengma,也就是我的全名。我是 ByteDance 公司的一名安全工程师,漏洞挖掘是我的爱好。我是从2017年11月开始在 HackerOne 上开始参加漏洞奖励计划的。
Q:是什么机缘巧合让你决定hacking 呢?你从什么时候开始 hacking的?
K:我中学毕业就开始hacking 了,不过当时不知道hacking 是什么或者当黑客意味着什么。当时我只是对计算机感兴趣,这是想知道硬盘或软盘是怎么工作什么的。当时,互联网也非常有限。我曾购买了一些预付网卡每天上一两个小时网。然后我偶然遇到了一些有意思的论坛讨论可以使用的技术,还看到一些指导手册。我把这些资料拷贝到 USB/硬盘中阅读,这就是我的开始之路。更专业的路是从8年前大学期间开始的。S:我的经历有点不一样。我在大学的专业是开发工程师。分数是学生的命根。有一天,一名教授竟然告诉我说我的代码里全是bug,我必须修复它们才能得 A。我回答说,“它也能用,不是吗?”这名教授是教安全的,他告诉我,“这不是应用bug,是安全bug!”作为一名好学生的我,就决定深入研究案情。最终我迷上了它并开始考证,最终遇到了 HackerOne 平台上的漏洞奖励计划。
Q:你们都知道作为攻击侧的黑客如何提交漏洞、编写出一份亮眼的漏洞报告。不过你们也在蓝队侧,在全职工作期间接收像你们一样的黑客提交的报告。你们能分享下黑客应当如何更有效地和安全团队沟通吗?良好的沟通应当是什么样的?
K:当我从黑客社区收到质量较高的漏洞报告时很激动。与我而言,好的报告应该具有非常清晰的修复步骤并分享漏洞的安全影响。有时候,好的漏洞报告不一定很长,可以像安全工程师需要列出的步骤那样简短,并且提供可以展示漏洞影响的清晰示例,以及说明该漏洞会对组织机构产生的最大影响是什么。作为黑客,但我看到一份高质量的报告后,我会尝试复现它。除此以外,我想要清除漏洞的根因是什么,因为我痛恨到处部署临时修复方案的情况。我想要让漏洞得到修复,作为一种通用修复方案。事实上,这种想法不一定总会实现。发现缺陷时,安全团队需要尽快打补丁,之后我们可以进一步调查根因并修复。这些都要耗费时间。作为内部安全团队的一份子,我们可以根据报告进一步深挖系统,查看是否存在利用该漏洞的其它方式,甚至带着报告访问整个报告最为关键的研究成果。S:作为黑客,我总是尽力提供易于复现的步骤以及良好的 PoC。从蓝队角度而言,我希望看到能让我向其攻击者想要实现何种目标的报告。作为黑客,虽然通过 hacking(或漏洞利用)能够达到的深度是存在限制的,但在内部,安全团队将进一步调查报告并找到该安全缺陷能够深入网络的程度以及它产生的影响。
Q:你认为一个良好的漏洞奖励计划是什么样的?什么样的计划会受黑客欢迎?
S:我认为多数黑客都喜欢涵盖范围广、赏金丰厚的漏洞奖励计划。我也是这样,因为这真的让黑客无法抗拒!当然,这并非全部。作为黑客,我倾向于查看该漏洞奖励计划的性质。例如,我喜欢专注于特定于上下文的 bug。如果是金融公司推出的漏洞奖励计划,那么我会寻找以金融数据为目标的特定漏洞如访问控制不当或不安全的直接对象引用。K:作为安全团队的一份子,我认为好的漏洞奖励计划取决于沟通程度和可见度。如果和黑客沟通良好,那么它就像是内部漏洞奖励计划的延伸。我们可以清楚地沟通并快速并轻松地解决报告中的分歧。作为黑客,我认为可见度是另外一个重要因素。从找到的 bug 来看,我希望了解组织机构将采取何种修复措施——下一步会做什么?修复的时间线是什么?修复方法是什么?我认为组织机构的响应速度和双向沟通比较重要。
Q:你们认为企业设立漏洞奖励计划和做渗透测试的最大好处分别是什么?
S:我认为二者密不可分。最近我发现漏洞奖励计划在网络安全行业非常受追捧。它就像纵深防御方式的解决方案。这两种工作我都做过,既当过渗透测试工程师,又当过赏金猎人。作为赏金猎人,我有机会使用很多种技术,从ASP到 GoLang 和 Rust 不一而足,这让我能够更好地了解如何防御某种攻击类型。在渗透测试过程中,我们通常必须停留在某个点,不过某些计划允许黑客进一步改进研究成果。这样真的有助于我们提升技术。另外,多数黑客步步跟进最新的漏洞攻击方法,这可以应用于他们自己的工作空间。因此从这个角度来看,参与漏洞奖励计划的价值可以转换到渗透测试中,而且你对公司的价值也会提升,也让你更受雇主欢迎。K:我认为它们之间存在两个主要的不同之处。首先是报酬。漏洞奖励计划采取的是看到结果后支付的模型:只有当企业收到合法的漏洞报告之后才会付给黑客报酬。而在渗透测试中,企业必须为所有的付出支付报酬。另外一点是,黑客可以访问的点和信息级别。在漏洞奖励计划中,黑客能够访问很多人提供的安全知识,如解决系统和漏洞的不同方法和方法论。然而,在渗透测试中,渗透测试工程师接触的专业知识是有限的。
Q:你们认为企业在设立漏洞奖励计划前应该了解什么?
K:在推出漏洞奖励计划之前,我认为企业应当做一个自身的安全评估,确保上下文中的所有一切都是安全的,然后再推出漏洞奖励计划,请黑客进行测试,查看自身的安全假设是否正确。另外,我认为有些东西,企业不必躲躲闪闪。只要在受控环境中,为黑客提供良好的漏洞计划可见性是双赢的局面。S:启动漏洞奖励计划,我认为企业需要拥有合适的技术专家来处理漏洞报告,而不是将工作推给普通的 IT 员工。就像 Ris 提到的那样,在启动计划前先开展正确的安全评估对于漏洞计划的基调而言也至关重要。我也建议不要做自己管理的漏洞奖励计划,除非公司在漏洞奖励计划方面经验较多,应该由一个良好的团队处理漏洞报告。有时候黑客的英文水平可能没有那么流利,或者他们的报告乍看上去不是特别清晰。HackerOne就是有助于弥补这个差距的平台。HackerOne 的 Triage 团队就非常擅长管理这些漏洞报告,过滤它们并为内部团队提供易于复现的步骤,我们公司也是这么做的。
我如何判断漏洞奖励计划是否值得参加?如何获得最大收益?
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。