Bonjour de l'autre côté. Entretien avec un chasseur de bugs.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Inhaltsverzeichnis
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
