Hallo von der anderen Seite. Interview mit einem Käfer-Kopfgeldjäger.
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Anfang dieses Monats Belgischer Käfer-Kopfgeldjäger, Inti De Ceukelaire hat einen kreativen Hack veröffentlicht, der Hunderte von Unternehmen betrifft. Der Trick besteht darin, fehlerhafte Fehler auszunutzen Geschäftslogik in beliebten Helpdesk- und Issue-Trackern, um Zugriff auf Intranets, Social-Media-Konten oder meistens auf Yammer- und Slack-Teams zu erhalten. Sie können mehr über die Details lesen auf Intis eigener Blogbeitrag. Ich war beeindruckt von der Kreativität, die nötig war, um diesen Exploit zu entwickeln, und neugierig auf den Prozess. Deshalb habe ich beschlossen, Inti einige Fragen zu stellen, und ich teile seine Antworten mit Ihnen.
Hallo Inti, kannst du dich unseren Lesern kurz vorstellen?
Ich bin Inti, Bug-Kopfgeldjäger bei Intigriti und Hackerone. Ich lebe in Aalst (Belgien) und verbringe meine Tage damit, Sachen kaputt zu machen.
Letzte Woche habe ich deinen Blogbeitrag über das gelesen, was du seitdem „Ticket Trick“ genannt hast, und ich war beeindruckt von deiner Kreativität, diesen Exploit zu finden. Wie bist du auf die Idee gekommen, diesen Trick auszuprobieren?
Ich nehme an Bug-Bounty-Programmen teil, was bedeutet, dass bestimmte Websites verantwortungsvollen Sicherheitsforschern, die einzigartige Sicherheitslücken entdecken, Geld anbieten. Da es eine Menge Konkurrenz gibt, müssen Sie weiter nach Dingen suchen, die andere noch nicht gefunden haben. Ich fand Slack ein interessantes Angriffsvektor, weil es oft vertrauliche Informationen enthält und manchmal nur eine gültige Unternehmens-E-Mail benötigt. Also schnappte ich mir ein Bier, legte mich aufs Sofa und fing an, über alle möglichen Angriffsvektoren nachzudenken. Plötzlich hatte ich diese verrückte Idee — und es stellte sich heraus, dass sie funktioniert hat. Ich probiere generell alles aus, was mir in den Sinn kommt. Auch wenn das nur ein paar Mal funktioniert, zahlt es sich aus. ;-)
Als jemand, der normalerweise auf der anderen Seite arbeitet und versucht, Code zu sichern, frage ich mich oft, wie eine Pentest-Sitzung aussieht. Wo arbeitest du? Machst du das auch in deiner Freizeit von deiner Couch aus? Oder sitzt du in einem Büro?
Tagsüber arbeite ich als digitaler kreativer Programmierer bei einem Radiosender namens Studio Brussel. Es beinhaltet einige Programme und einige soziale Medien, aber keine Sicherheit. Ich versuche, mein Hobby nicht mit meinem beruflichen Beruf zu vermischen. Ich fürchte, ich würde meine Kreativität verlieren, wenn ich das täte. Ich hacke nicht oft: maximal ein paar Stunden pro Woche. Es kann am Tisch, auf der Couch oder auf meinem Bett sein — was auch immer gerade bequem ist.
Wie fängst du an? Hast du einen Spickzettel? Haben Sie einige Eingaben, um zu testen, ob eine ausreichende Eingabevalidierung oder ein Output-Escaping erfolgt?
Ich bin wirklich chaotisch, also habe ich nicht wirklich eine Checkliste, ich benutze nur mein Bauchgefühl. Die meiste Zeit beginne ich mit etwas namens Recon: eine Auflistung aller interessanten Zielinformationen, Subdomains, IP-Adressen, was auch immer ich finden kann. Ich versuche, das Gesamtbild zu sehen und die Geschäftslogik zu verstehen, bevor ich überhaupt mit dem Hacken beginne. Wenn Sie nur nach den üblichen Sicherheitslücken aus dem Lehrbuch suchen, werden Sie viele der clevereren und komplexeren Fehler übersehen. Wenn es um Eingaben geht, versuche ich, so viele Sicherheitslücken wie möglich in einer Nutzlast abzudecken. Immer wenn ich etwas Interessantes entdecke, spiele ich eine Weile damit herum und werfe eine Menge Unsinn hinein, nur um zu sehen, wie das System darauf reagiert. Die besten Bugs finden sich oft in den entlegeneren Teilen einer Webanwendung, also versuche ich so tief wie möglich zu graben.
Was macht deiner Meinung nach einen guten Pentester aus? Hast du irgendwelche Tricks im Ärmel, die du uns teilen kannst?
Ich bin kein Pentester, daher kann ich nicht wirklich für Pentester im Allgemeinen sprechen, aber ich denke, Motivation und Ausdauer sind die wichtigsten Ressourcen. Die meisten Leute werden nicht einmal in Betracht ziehen, in Google nach Sicherheitslücken zu suchen, weil sie die besten Ingenieure der Welt haben, aber sie zahlen jedes Jahr Millionen von Bug-Bounties aus. Ich arbeite seit über 2 Jahren an einem Ziel und jetzt fange ich an, zu den wirklich interessanten Bugs zu kommen. Es dauert eine Weile. Das Problem beim normalen Pentesting ist, dass die Tester einen bestimmten Betrag erhalten, unabhängig davon, ob sie kritische Sicherheitslücken finden oder nicht. Ich glaube, es gibt immer noch viele Bugs auf Facebook, es braucht nur jemanden, der bereit ist, tief genug zu graben.
Was war dein erster Gedanke, als du das Ausmaß des Ticket-Tricks erkannt hast?
Ich hatte gemischte Gefühle. Ich war erstaunt und dachte sofort an die Bug-Bounties, die ich damit sammeln könnte, aber auf der anderen Seite war ich schockiert, dass das möglich war. Immer wenn man so etwas findet, besitzt man plötzlich eine Menge wertvoller Informationen, an denen böswillige Parteien sehr interessiert wären. Der Offenlegungsprozess ist schwierig: Sie müssen so viele betroffene Unternehmen wie möglich informieren, aber auf der anderen Seite müssen Sie sicherstellen, dass die Informationen nicht durchsickern oder missbraucht werden.
Warum habt ihr beschlossen, die Informationen zu veröffentlichen, bevor ihr weitere Prämien kassiert?
Das Richtige zu tun ist wichtiger als Kopfgelder zu sammeln. Ich denke, ich hatte meinen fairen Anteil und möchte jetzt der Community etwas zurückgeben. Außerdem informiere ich Unternehmen seit Monaten über dieses Problem, sodass immer mehr Menschen davon wussten. Ich wollte nicht, dass es durchsickert oder von jemandem mit schlechten Absichten missbraucht wird.
Wie haben Sie die Antworten der betroffenen Unternehmen empfunden?
Die meisten Antworten waren zufriedenstellend. Einigen Unternehmen war das nicht wirklich wichtig, aber am Ende des Tages ist es ihr Verlust. Als Sicherheitsforscher abgelehnt zu werden, ist Teil des Spiels. Zumindest habe ich keine Klagen bekommen. Vor 10 Jahren wäre das wahrscheinlich der Fall gewesen.
Eine letzte Frage, auf Reddit habe ich gelesen, dass du 8.000$ an Bug-Bounties beansprucht hast. Hast du irgendwelche coolen Pläne, dieses Geld auszugeben?
Insgesamt habe ich durch diesen Bug mehr als 20.000$ bekommen. Mehr als die Hälfte davon entfällt auf Steuern. Den Rest gebe ich für normale Dinge wie Reisen aus, zum Abendessen ausgehen,... nichts Verrücktes. :-)
Vielen Dank für Ihre Zeit und viel Glück bei der zukünftigen Jagd!
Der Bug ist immer noch da draußen. Es ist nicht etwas, das sofort behoben werden kann. In den letzten Monaten habe ich im Rahmen ihrer Bug-Bounty-Programme Dutzende von Unternehmen und betroffenen Anbietern kontaktiert, um deren Konfiguration zu reparieren.
Índice
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
