Здрасьте.
Я периодически шучу, что моим тотемным зверем является один розовый покемон, но в рамках создания профильных каналов - это уже не шутка. Куда не посмотри, у каждого есть свой канал, а я что хуже что ле.
"Опять канал проибе это ваше" подумал кто-то и подумал верно, но ибешечка будет специфичная, с различным душком, так сказать. И имя ей bug bounty(или багбаунти, кому как удобно).
Про багбаунти сказано многое, у багхантеров есть свои каналы, которые я с удовольствием читаю, но каналов про багбаунти со стороны вендора я не встречал(хотя иногда хочется почитать). Может плохо искал, кто знает.
О чем тут будет посты? В основном, личные заметки, решения различных ситуаций, интересные кейсы,(обезличенные естественно), GORENIE, саморефлексия(на этом слове отписались мои единственные 1.5 подписчика) и все другое из жизни вендора бб.
Кидать мемы, думать о жизни, делать репостики и всякое другое, чем занимаются другие каналы, я, конечно же, буду.
А могу ли я рассуждать о таком? Надеюсь, что опыт ~3 лет развитию багбаунти программы в крупном бигтехе может в этом помочь👀
Помимо этого, я еще и багханчу во всяких разных местах, поэтому, надеюсь, смогу посмотреть на ситуацию с развитием бб в Росии(и не только) с различных точек зрения.
Слог специфичный, авторский, с нерегулярной активностью, но с регулярным "блин, чтобы написать любимым подписчикам".
Добро пожаловать, в общем.
Я периодически шучу, что моим тотемным зверем является один розовый покемон, но в рамках создания профильных каналов - это уже не шутка. Куда не посмотри, у каждого есть свой канал, а я что хуже что ле.
"Опять канал проибе это ваше" подумал кто-то и подумал верно, но ибешечка будет специфичная, с различным душком, так сказать. И имя ей bug bounty(или багбаунти, кому как удобно).
Про багбаунти сказано многое, у багхантеров есть свои каналы, которые я с удовольствием читаю, но каналов про багбаунти со стороны вендора я не встречал(хотя иногда хочется почитать). Может плохо искал, кто знает.
О чем тут будет посты? В основном, личные заметки, решения различных ситуаций, интересные кейсы,(обезличенные естественно), GORENIE, саморефлексия(на этом слове отписались мои единственные 1.5 подписчика) и все другое из жизни вендора бб.
Кидать мемы, думать о жизни, делать репостики и всякое другое, чем занимаются другие каналы, я, конечно же, буду.
А могу ли я рассуждать о таком? Надеюсь, что опыт ~3 лет развитию багбаунти программы в крупном бигтехе может в этом помочь
Помимо этого, я еще и багханчу во всяких разных местах, поэтому, надеюсь, смогу посмотреть на ситуацию с развитием бб в Росии(и не только) с различных точек зрения.
Слог специфичный, авторский, с нерегулярной активностью, но с регулярным "блин, чтобы написать любимым подписчикам".
Добро пожаловать, в общем.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🔥4😁2
ИИшечка прочно вошла и не выходит из наших жизней. Багбаунти это тоже не обделило и есть как хорошие последствие этой иинтеграции, так и не очень.
Собственна, вот есть условный Вася(имя вымышленное все совпадения с реально существующими Василиями случайны). Василий узнает из каких-то источников, что есть какая-то биг баунти и платят там биг деньги.
Наш персонаж регистрируется на платформе бб, берет себе никнейм vasyan1337(все совпадения случайны, а никнейм вымышлен) и идет смотреть программы. Понимает, что это золотая жила, вон какие суммы платят. Денег хочется, а погружаться в то, как их получить - нет.
И тут, у нашего новоиспеченного хакера возникает идея.
"Чатжпт найди мне уязвимость здесь" и LLM, не будь дураком, находит. От осознания того, НАСКОЛЬКО просто она была найдена, Василий преисполняется и присылает еще больше уязвимостей. А потом еще и еще...
Триажеры на утро, за кофе, разбирая ночные баги видят over9000 отчетов от vasyan1337 и все закрывают как N/A, NMI, просят показать импакт и тд.
Василий не понимает, что происходит, засылает ответы в жпт, который отвечает триажерам, которые отвечают ему и так далее.
Штош, добро пожаловать в вайбхантинг - новую проблему, с которой уже столкнулись некоторые вендора, а кто-то для себя ее еще откроет.
Последствия у этого не самые радостные и страдают не только вендоры, но и багхантеры.
А что конкретно может всех ждать - расскажу позже😎
Собственна, вот есть условный Вася(имя вымышленное все совпадения с реально существующими Василиями случайны). Василий узнает из каких-то источников, что есть какая-то биг баунти и платят там биг деньги.
Наш персонаж регистрируется на платформе бб, берет себе никнейм vasyan1337(все совпадения случайны, а никнейм вымышлен) и идет смотреть программы. Понимает, что это золотая жила, вон какие суммы платят. Денег хочется, а погружаться в то, как их получить - нет.
И тут, у нашего новоиспеченного хакера возникает идея.
"Чатжпт найди мне уязвимость здесь" и LLM, не будь дураком, находит. От осознания того, НАСКОЛЬКО просто она была найдена, Василий преисполняется и присылает еще больше уязвимостей. А потом еще и еще...
Триажеры на утро, за кофе, разбирая ночные баги видят over9000 отчетов от vasyan1337 и все закрывают как N/A, NMI, просят показать импакт и тд.
Василий не понимает, что происходит, засылает ответы в жпт, который отвечает триажерам, которые отвечают ему и так далее.
Штош, добро пожаловать в вайбхантинг - новую проблему, с которой уже столкнулись некоторые вендора, а кто-то для себя ее еще откроет.
Последствия у этого не самые радостные и страдают не только вендоры, но и багхантеры.
А что конкретно может всех ждать - расскажу позже
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39🔥12😭4❤2
Итак, последствия.
Штош, представим, что наш гипотетический vasyan1337 не один. И то количество отчетов, которое может генерировать небольшая армия Василиев, может значительно превышать пропускную способность триажеров. Что из этого следует? Правильно, замедление времени разбора отчетов.
Ситуация №2 - багхантер присылает валидный отчет, но триажер из-за того, что его достала армия подражателей vasyan1337, может отнестись к отчету скептически и не принять его. Дальше могут быть споры в комментариях к отчету, призыв платформы(внутреннее обсуждение внутри команды), но факт остается фактом: качество валидации уязвимости снизилось. Здесь как в анекдоте - у багхантера остается "осадочек", который может копиться и докопится до того, что он уйдет хантить в другие места.
Идем дальше - Устав от зерг-раша Василиев, компания приходит к платформе с вполне валидный требованием: сделайте что-то, чтобы такого не было!
Вопрос к подписчикам - какие решения вы видите?Я не знаю, где вы будете отвечать, потому что комментарии закрыты
Компания делает что-то, и это что-то может усложнить жизнь новым багхантерам(или даже всем) на платформе. Но у нас же не все новые хакеры - это аналоги vasyan1337, не так ли? Т.е. логичное следствие всего этого - усложнение жизни реальным багхантерам.
4я ситуация - Функционал на платформе запланирован, но до его релиза еще несколько месяцев. Василии радуют отчетами, хантеры негодуют из-за увеличения времени выплат и ответов, триаж зашивается и думает об отпуске. И тут в какой-то момент вместо GORENIE происходит VIGORENIE. Один триажер уходит монахом в монастырь, другой едет на пару месяцев к морю и с триажом в компании становится все очень плохо. Так и запишем: VIGORENIE - это плохо, пнятненько.
Ситуация №5 - Триажеры сгорели, багхантеры штурмуют бб компании, менеджер запил. Что еще может случиться? Допустим, багбаунти программа может встать на паузу или вообще прекратить свое существование. Случай с curl'ом тому пример.
Все это немного грустно и навевает пессимизм, не правда ли? Но, я не просто так говорил о том, что есть плохие и хорошие последствия этой иинтеграции. Какие?
To be continued...
Штош, представим, что наш гипотетический vasyan1337 не один. И то количество отчетов, которое может генерировать небольшая армия Василиев, может значительно превышать пропускную способность триажеров. Что из этого следует? Правильно, замедление времени разбора отчетов.
Ситуация №2 - багхантер присылает валидный отчет, но триажер из-за того, что его достала армия подражателей vasyan1337, может отнестись к отчету скептически и не принять его. Дальше могут быть споры в комментариях к отчету, призыв платформы(внутреннее обсуждение внутри команды), но факт остается фактом: качество валидации уязвимости снизилось. Здесь как в анекдоте - у багхантера остается "осадочек", который может копиться и докопится до того, что он уйдет хантить в другие места.
Идем дальше - Устав от зерг-раша Василиев, компания приходит к платформе с вполне валидный требованием: сделайте что-то, чтобы такого не было!
Вопрос к подписчикам - какие решения вы видите?
Компания делает что-то, и это что-то может усложнить жизнь новым багхантерам(или даже всем) на платформе. Но у нас же не все новые хакеры - это аналоги vasyan1337, не так ли? Т.е. логичное следствие всего этого - усложнение жизни реальным багхантерам.
4я ситуация - Функционал на платформе запланирован, но до его релиза еще несколько месяцев. Василии радуют отчетами, хантеры негодуют из-за увеличения времени выплат и ответов, триаж зашивается и думает об отпуске. И тут в какой-то момент вместо GORENIE происходит VIGORENIE. Один триажер уходит монахом в монастырь, другой едет на пару месяцев к морю и с триажом в компании становится все очень плохо. Так и запишем: VIGORENIE - это плохо, пнятненько.
Ситуация №5 - Триажеры сгорели, багхантеры штурмуют бб компании, менеджер запил. Что еще может случиться? Допустим, багбаунти программа может встать на паузу или вообще прекратить свое существование. Случай с curl'ом тому пример.
Все это немного грустно и навевает пессимизм, не правда ли? Но, я не просто так говорил о том, что есть плохие и хорошие последствия этой иинтеграции. Какие?
To be continued...
👍14🔥9❤2🤯2😁1
Так как по жизни я неисправимый оптимист (с периодическими фаталистическими настроениями), то не могу не отметить плюсы того, насколько ИИшечка входит в нашу багбаунтевскую жизнь. Хочу подчеркнуть, что прежде всего речь идет о таком замечательном инструменте как AI-агент, а также о том, что он может дать багхантеру.
Начнем с простого:
1) Рекон и все такое. Сейчас можно дать задание AI-агенту найти и проанализировать весь скоуп и он это сделает. А если не сможет с наскока, то вежливо спросит: "Товарищ кожаный мешок, мне бы тут ключи на шодан, да на вирустотал, подкинь по-братски". В некоторых случаях, даже спрашивать не будет, а сам все сделает. Таким образом, мы довольно быстро с помощью только одного инструмента существенно расширяем поверхность атаки.
2) Если вы понимаете, что не понимаете, куда дальше копать, то все найденное можно передать агенту и попросить его нагенерировать гипотез или идей для того, чтобы проверить уязвимость. Будут ли они совпадать с вашими? Скорее всего да, но эти идеи он может протестить и сразу сказать, стоит ли копать дальше или стоит посвятить вечер чему-то более полезному
3) Агент может закрыть ваши слабые стороны, поэтому, почему бы не настроить его таким образом, чтобы он занимался тем, что вам не нравится/не хочется? Уязвимости могут быть в самых разных местах и, кто знает, где он может их найти
Это не все плюсы, что уж там. Как и любой инструмент, умелое обращение с ним может показать шикарные результаты - при должной настройке он пропылесосит вам все и вся (не без вашей помощи естественно), а также найдет уязвимости, на которые вы бы потратили кучу времени. Багхантеры, которые сейчас умеют применять таких агентов в поиске уязвимостей, могут получить неплохую прибавку в количестве и качестве сданных уязвимостей.
Но что мы все о багхантерах, давайте поговорим и о вендорах, не зря же тут про другую сторону багбаунти рассказывается.
Плюс, на мой взгляд, довольно большой и очевидный – Мы будем получать больше качественных и критичных уязвимостей вместе с нейрослопом. Особенно это видно на текущем "мертвом" квартале(Q1) - количество выплат и найденных в бб критических уязвимостей, несоизмеримо больше, чем годом раньше, притом часть из них точно была докручена с помощью ИИ.
И все это классно, круто и помогает нам становится секьюрнее. Но, как говорится есть один (не один) нюанс. В будущем все это может повлиять на рынок багбаунти и в принципе на саму ее концепцию.
Позвольте, задам несколько вопросов:
1) Что будет делать вендор, если выплаты за такие качественные уязвимости значительно превысят прогнозы годового бюджета на багбаунти?
2) Что будут делать багхантеры, когда компании внедрят поиск уязвимостей с помощью таких же AI-агентов в свои процессы VM?
3) Что произойдет, когда затраты на токены станут больше, чем получаемые баунти за уязвимости?
4) А нужна ли будет багбаунти компании, когда несколько купленных и настроенных агентов будут справляться лучше, чем 50/80/95% багхантеров?
5) А где и как будут учится юные багхантеры, когда порог входа вырастет еще больше?
Есть еще много вопросов, но, пожалуй, хватит на сегодня. Мы живем в очень интересное время, особенно, если задуматься о том, что такой качественный скачок произошел в последние несколько месяцев.
Выводы, как говорится, сделайте самостоятельно. Успевайте, нас ждет много интересного впереди.
Начнем с простого:
1) Рекон и все такое. Сейчас можно дать задание AI-агенту найти и проанализировать весь скоуп и он это сделает. А если не сможет с наскока, то вежливо спросит: "Товарищ кожаный мешок, мне бы тут ключи на шодан, да на вирустотал, подкинь по-братски". В некоторых случаях, даже спрашивать не будет, а сам все сделает. Таким образом, мы довольно быстро с помощью только одного инструмента существенно расширяем поверхность атаки.
2) Если вы понимаете, что не понимаете, куда дальше копать, то все найденное можно передать агенту и попросить его нагенерировать гипотез или идей для того, чтобы проверить уязвимость. Будут ли они совпадать с вашими? Скорее всего да, но эти идеи он может протестить и сразу сказать, стоит ли копать дальше или стоит посвятить вечер чему-то более полезному
3) Агент может закрыть ваши слабые стороны, поэтому, почему бы не настроить его таким образом, чтобы он занимался тем, что вам не нравится/не хочется? Уязвимости могут быть в самых разных местах и, кто знает, где он может их найти
Это не все плюсы, что уж там. Как и любой инструмент, умелое обращение с ним может показать шикарные результаты - при должной настройке он пропылесосит вам все и вся (не без вашей помощи естественно), а также найдет уязвимости, на которые вы бы потратили кучу времени. Багхантеры, которые сейчас умеют применять таких агентов в поиске уязвимостей, могут получить неплохую прибавку в количестве и качестве сданных уязвимостей.
Но что мы все о багхантерах, давайте поговорим и о вендорах, не зря же тут про другую сторону багбаунти рассказывается.
Плюс, на мой взгляд, довольно большой и очевидный – Мы будем получать больше качественных и критичных уязвимостей
И все это классно, круто и помогает нам становится секьюрнее. Но, как говорится есть один
Позвольте, задам несколько вопросов:
1) Что будет делать вендор, если выплаты за такие качественные уязвимости значительно превысят прогнозы годового бюджета на багбаунти?
2) Что будут делать багхантеры, когда компании внедрят поиск уязвимостей с помощью таких же AI-агентов в свои процессы VM?
3) Что произойдет, когда затраты на токены станут больше, чем получаемые баунти за уязвимости?
4) А нужна ли будет багбаунти компании, когда несколько купленных и настроенных агентов будут справляться лучше, чем 50/80/95% багхантеров?
5) А где и как будут учится юные багхантеры, когда порог входа вырастет еще больше?
Есть еще много вопросов, но, пожалуй, хватит на сегодня. Мы живем в очень интересное время, особенно, если задуматься о том, что такой качественный скачок произошел в последние несколько месяцев.
Выводы, как говорится, сделайте самостоятельно. Успевайте, нас ждет много интересного впереди.
🔥20🤔6❤3
Когда я на Confab упоминал антирекорд по вайбхантингу, я вовсе не имел в виду, что его нужно побить...
😁30😭13❤2