Как мы ломали docshell.ru
Привет, Хабр!
BugHunt — это сервис публикации программ вознаграждения за найденные уязвимости. Мы помогаем различным организациям запустить собственные bug bounty программы и берём на себя всю рутину: разрабатываем условия программы, привлекаем к участию исследователей, обрабатываем отчёты и даём рекомендации по устранению дыр.Получается почти как пентест, но дешевле, лучше, и платишь тут не за красивый отчёт, а за реальные дыры.
Первыми экономию на bug bounty программах заметили Google, Яндекс, Qiwi и другие ИТ гиганты (тут полный лист), что, конечно, легко объяснить: чтобы организовать свою компанию по ловле дыр нужны кадры и бюджет.Мы постараемся сделать так, чтобы программу вознаграждения за найденные уязвимости смогла позволить себе любая компания.Программа вознаграждения за найденные уязвимости docshell.ru
Первым нашим клиентом стал сервис DocShell.За 3 недели существования сервиса BugHunt и программы вознаграждения DocShell мы получили почти 40 отчетов с информацией о различных дырах.
Из них примерно 10 отчетов (25%) были отклонены, так как дублировали информацию о найденной дыре (по правилам работы сервиса, кто первый сообщил об уязвимости, тот и получает вознаграждение).Самой серьезной дырой, которую пока что откопали на сервисе DocShell, оказалась возможность читать чаты с техподдержкой других пользователей. Для этого достаточно было в URL www.docshell.ru/Chat/LoadHistory? destinationUserId=XXXX вставлять произвольный параметр UserId. За эту дыру мы тут же выплатили 30 тысяч рублей (спасибо исследователю с ником sm!).Другим исследователям повезло меньше, и средний объем выплаченного вознаграждения за одну дыру составил 5 тысяч рублей. Однако многие присылали нам сразу по несколько отчётов и в результате заработали не меньше.Самой популярной уязвимостью стали различные типы CRSF атак, но все они требовали каких-либо активных действий на посторонних сайтах от имени авторизованного пользователя, поэтому мы присваивали таким уязвимостям низкую категорию опасности. В качестве защиты от подобных атак разработчики сервиса оперативно внедрили anti-csrf токены и отчётов поубавилось.Слабым местом в безопасности сайта был так же механизм авторизации и восстановления пароля. Соответствующие формы допускали перебор пользователей и не были защищены от автоматического подбора пароля.В виде исключения мы так же заплатили за найденную уязвимость в почтовом сервере Postfix (CVE-2011–1720), хотя он и не являлся частью сервиса docshell, а просто висел с ним на одном ip адресе.Кстати, программа вознаграждения за найденные уязвимости на сайте docshell.ru все еще действует, хоть и призовой фонд уже сильно похудел. Узнать о новых программах первыми можно через наш твиттер @bughuntru.Вы так же можете проверить свой сайт через наш сервис! Сейчас разработку и публикацию программ вознаграждения мы делаем бесплатно, поэтому если на Вашем сайте не найдут уязвимостей — вы не заплатите ни копейки.
