数日前、インドのバグバウンティハンターである Shashank aka Cyberboy は、複数のエラーから Django の管理者乗っ取りに至るまでのクリエイティブなハックを思いつきました。バグは、彼がしばらくの間狩りをしていたプライベートなターゲットについてだった、彼はすべてのサブドメインを FFUF、GoLang で書かれた最新かつ最速のファジングオープンソースツールに渡しました。このツールを使ってディレクトリやファイルをブルートフォースしています。このバグについては、彼のブログ記事に詳しく書かれています。私はこの悪用を発見するために必要な決意と創造性に感銘を受けました。好奇心旺盛な私は、このハックを発見するプロセスの背後にある革新的な頭脳にインタビューすることにしました。
こんにちは、私はShashankです。私はHackerOneのセキュリティアナリスト、Cobaltのチームリーダー(パートタイム)、そしてバグバウンティハンターです。私がバグバウンティを始めたのは15歳の時です。今でも本業とアルバイトの後の空き時間にやっています。これはすべて私がFacebookやgoogleのような企業が彼らのウェブサイト上で有効なセキュリティ上の問題を見つけるためにハッカーに支払うことを聞いたときに2012-2013年に始まった。私は、Facebook、google、apple、Microsoft、PayPal、および有効なセキュリティ問題を報告するための100以上のトップ企業によってrewardedrecognizedされています。
2) 数日前、私はDjangoの管理者の乗っ取りに関するあなたのブログ記事を読み、あなたが遭遇した複数のエラーにもかかわらず、あなたの粘り強さに感銘を受けましたが、このエクスプロイトの発見につながった最終的なアイデアはどのようにしてあなたにもたらされたのでしょうか?
グーグルからの最初のバウンティに戻ります。2013年に最初のバグを見つけるのに4ヶ月かかりました そして、この分野には永続性が必要だという結論に至りました。
私がバグを発見した脆弱なエンドポイントは そのエンドポイントは、1週間後からの疑惑ノートに記載されていました。1週間後、なんとか500エラーを回避してそのエンドポイントにアクセスできたとき、私はすべてのAPIエンドポイントの見直しを開始しました。そして、私はすべてのバグを連鎖させて最終的なエクスプロイトを作りました。私は数え切れないほどのAPIをテストしてきました。私はすべてのAPIで見られる一般的なパターンの経験と、私は特権のエスカレーションを実行するための正しいAPIコールを構築することができました。
3) どのようにしてハッキングを発見したのですか? バグの賞金稼ぎをしていた頃のことで、何か思い出せることはありますか?
はい、あの事件は私の人生を永遠に変えてしまったので、決して忘れることはできません。私はサイニック・スクールで勉強しました 全寮制の学校でした 夏休みにはOrkutを使っていて、先輩の一人とチャットをしていました。当時はソーシャルメディアが流行していて、Orkutは新しいものでした。私は毎日夕食後に先輩とチャットをしていました。ある日、彼はネットをしていなかったのですが、後日、彼のアカウントがハッキングされていたことを知らされました。私は、こんなことがあり得るのかと驚きました。そこで、私たちは一緒にそれがどのようにして起こったのかについての手がかりを探して調べ始めました。何週間も探した後、彼のアカウントがフィッシングされていたことがわかりました。
その後、私もそれを学びたいと思いました。プログラミングの経験がゼロだったので、何ヶ月もかけてフィッシングの勉強をしなければなりませんでした。翌年、在学中に図書館で、ハッカーはウェブサイトもハッキングするということを読みました。10回目の授業が終わった後、私はITの道に進むためにサイニックの学校を中退し、JEEの準備のためにデリーに行きました。そこで自分のパソコンを持っていたので、独学でウェブハッキングを学びました。その頃にバグバウンティというプログラムの存在を知り、最初のバウンティを受けてからは、ずっとやめられませんでした。今でも、暇な時にはバグバウンティに参加するのが大好きです。私はバグバウンティプログラムに参加するのが大好きです。
4) 今までに発見した中で最も刺激的だったバグは何ですか?
私が最も興奮したバグは、blockchain.comにありました。私は常に暗号の愛好家でした。ブロックチェーンは次の大きなものになると信じています。Blockchain.comは私が使っているオンラインのビットコインウォレットです。私は誰のビットコインウォレットのバックアップファイルを盗むことができるバグを発見しました。これを悪用して、ワンクリックでユーザーのアカウントからお金を盗むことができました。
その上、私は2017年にAppleのiOSで、連絡先を共有することでiOSユーザーのWhatsAppを永久にクラッシュさせることができるバグを発見しました。
5) エクスプロイトを狩る動機は何ですか?
大手で人気のあるプラットフォームのセキュリティ問題を見つけることは、やりがいがあり、スリリングです。すべての情報の断片や小さなバグを連鎖させて、より大きなエクスプロイトにすることができたときは、私に計り知れない幸せを与えてくれます。それとは別に、有効な提出物を提出するたびに、金銭的な報酬やスワッグ、認識を得ることができるので、何度も何度もやる気が出てきます。
6) 影響を受けた組織からの反応はどうでしたか?
正直なところ、私はハッカーに感謝していて、いくら払っているかに関係なく対応してくれるプログラムに固執しています。プログラムがあまり反応が良くないことに気づいたら、他のターゲットに移る傾向があります。私は他のターゲットに移動する傾向があります。
7) 5年間でバグ・バウンティの空間はどのように進化していくと思いますか?
バグバウンティは8年間ですでにブームになっています。私が始めた頃は、バグバウンティプログラムを実施している企業は数社しかありませんでした。今ではほぼ数え切れないほどになっています。ハッカーには何百万ものお金が支払われてきましたし、今後5年間でバグバウンティを始める企業が増えることは間違いないでしょう。arogya setuのような政府のプロジェクトでさえ、バグバウンティプログラムを開始しています。これからの5年間で、もっと多くの企業がバグバウンティプログラムを始めることになるでしょう。より多くの企業が、より良い報酬を得られるようになるでしょう。
8) これからのバウンティハンターに何をアドバイスしますか?
私は強く2つのことを信じています。1つは読書、もう1つは粘り強さです。8年経った今でも、私は毎日のように他のハッカーが公開したバグの記事を読んでいます。ソフトウェアは日々セキュリティをアップグレードしていますが、ハッカーとして、ゲームに参加し続けるためには、より先を行き、より創造的である必要があります。倫理的なハッキングやバグバウンティというこの分野では、学習をやめた日がキャリアの終わりとなります。
それとは別に、ハッキングには忍耐と粘り強さが必要です。多くの人が同じアプリケーションを調べているときに、バグを見つけるのは簡単ではありません。それは決してあきらめず、バグを見つけるまで探し続けることです。これが私の場合はいつもうまくいっています。
9) E ハッキングニュースについてどう思いますか?
私はセキュリティの世界に入った時からEハッキングニュースを知っています。倫理的なハッキングやバグバウンティがあまり普及していなかった頃に始まった数少ないブログです。ハッキングは犯罪行為ではないということを世の中に理解させようとしているこのようなブログの背後にいる人々に感謝したいと思います。今では職業になっています。
サイバーボーイさん、これからもグッドラックハンティングをよろしくお願いします。
【以下原文】
Hacker Spotlight: Interview with 'Cyberboy', Bug Bounty Hunter who Won $3000:
A few days ago Indian bug bounty hunter, Shashank aka Cyberboy came up with a creative hack that led him from multiple errors to Django admin takeover. The bug was about a private target he had been hunting for a while, he passed all the subdomains to FFUF, the most recent and fastest fuzzing open-source tool written in GoLang. The tool is used to brute force directories and files. You can read about the bug in detail in his blog post. I was impressed by the determination and creativity required to discover this exploit; being curious as I was, I decided to interview the innovative mind behind the process involved in discovering this hack and I'm sharing his answers with you all!
Hi, I am Shashank. I am a security analyst at HackerOne, team lead at Cobalt (part-time), and a bug bounty hunter. I started bug bounties when I was 15 years old. I still do it in my free time after my regular job and part-time jobs. This all started in 2012-2013 when I heard that companies like Facebook and google pay hackers for finding a valid security issue on their website. I have been rewarded/recognized by Facebook, google, apple, Microsoft, PayPal, and 100+ top companies for reporting a valid security issue.
2) A few days back, I read your blog post on the Django admin takeover and I was impressed by your persistence despite multiple errors you encountered, can you please share how did the final idea that led to the discovery of this exploit occur to you?
Going back to my first bounty from google. It took me four months to find my first bug back in 2013. And I concluded that I need persistence in this field.
The vulnerable endpoint where I found the bug. I had that endpoint in my suspicion notes from a week. After a week, when I managed to bypass the 500 error to access the endpoint, I started reviewing all API endpoints. Then I chained all the bugs to make the final exploit. I have tested countless APIs. With the experience of common patterns I see in all APIs, and I was able to construct the right API call to execute the privilege escalation.
3) How did you discover hacking? Anything you can recall from your initial days as a bug bounty hunter?
Yes, and I can never forget that incident because that changed my life forever. I studied at Sainik School. It was a boarding school. During my summer vacation, I was using Orkut, and I used to chat with one of my seniors. You know, way back then, social media was gaining popularity, and Orkut was a new thing. I used to chat with my senior every day after dinner. One day he was not online, and later, he informed me that his account was hacked. I was amazed at how this is even possible. So we together started digging and looking for clues about how it could have happened. After weeks of searching, we realized that his account was phished.
After that, I wanted to learn it as well. Since I had zero programming experience, I had to spend months learning to phish. Later next year, while I was in school, I read in the library that hackers hack websites as well. After class 10th, I dropped out of Sainik school to pursue my career in IT and went to Delhi for JEE preparations. There I had my own computer, so I taught myself web hacking. I heard about the bug-bounty program during those days, and after my first bounty, I never stopped. Even today, in my free time. I love to participate in bug bounty programs.
4) What was the most exciting bug you ever discovered?
My most exciting bug was in blockchain.com. I have always been a crypto enthusiast. I believe that blockchain will be the next big thing. Blockchain.com is an online bitcoin wallet that I use. I found a bug that allowed me to steal anyone’s bitcoin wallet backup file. This could be exploited to steal money from the user’s account with a single click.
Besides, I found a bug in Apple iOS in 2017, which allowed me to permanently crash an iOS user’s WhatsApp by sharing a contact.
5) What motivates you to hunt exploits?
Finding security issues in big and popular platforms is challenging and thrilling. It gives me immense happiness when I am able to chain all pieces of information and small bugs to make it a bigger exploit. Apart from that, we can get financial rewards, swags, and recognition for every valid submission, which adds motivation to do it again and again.
6) How did you feel about the response from the affected organizations?
Honestly, I stick with programs that appreciate hackers and are responsive irrespective of how much they pay. If I notice a program is not very responsive. I tend to move to other targets.
7) How do you see the bug bounty space evolving over 5 years?
Bug bounty has already boomed in 8 years. When I started, there were a few companies that had a bug-bounty program. Now it is almost countless. Millions have been paid out to hackers, and in the next five years, I am sure we will see more companies starting bug bounties. Even a government project like arogya setu has started bug-bounty programs. We are going to see more in the coming future. More companies and better rewards.
8) What would you advise to the upcoming bounty hunters, any reading recommendations?
I strongly believe in 2 things. One is reading, and the other is persistence. Even today, after eight years, I still read writeups of bugs published by other hackers on a daily basis. Software upgrades their security each day, and as a hacker, we need to be ahead and more creative to remain in the game. In this field of ethical hacking and bug-bounty, the day you stop learning is the end of the career.
Apart from that hacking requires patience and persistence. It is not easy to find a bug when so many people are looking into the same application. It's all about never giving up and keep looking for bugs until you find one. This has always worked for me.
9) What are your thoughts about E Hacking News?
I know about E hacking news from the time I got into security. It is one of the few blogs that started long back when ethical hacking and bug bounties were not very popular. I would like to thank the people behind every such blog who are trying to make this world understand that hacking is not a criminal activity. It is a profession now.