※ 引述《CMJ0121 (不要偷 Q)》之铭言： : ※ 引述《CMJ0121 (不要偷 Q)》之铭言： > bounty 系列文最终章 bounty 系列文终於到最终章了 这三篇刚好满足三种 bounty 可能遇到的状况 1) 给钱 2) 钱给的不甘愿 3) 没有钱 接下来 bounty 相关文章就会交给其他有心人发文了 :) 一样附上时间轴： 2021-04-10 参加聚会时 跟社团友人一同发现问题 问题为官网某服务的 Blind SQL Injection 2021-04-11 放弃更深入的检测 寄信回报到 [email protected][1] -> 2021-04-14 再次寄信到 [email protected] -> 2021-04-15 使用官网上提问 form 确认对方是否有收到信 -> 用词为：发现一个潜在安全性问题、尚未收到回覆 2021-04-15 <- 对方使用公司个人信箱回覆 表示没收到报告 2021-04-15 透过公司信箱确认为公司员工 (透过 LinkedIn) -> 回覆报告到对方个人信箱 2021-04-16 寄信询问对方是否收到回覆 -> 并询问是否有 bounty / acknowledgement 2021-04-16 <- 对方表示收到报告 目前没有 bounty 研究如何提供 acknowledgement 2021-06-04 -> 放在官方某致谢 Link 中 <- 现在 有跟对方承诺会在 6/16 之後公布细节 不过检查问题已经修复 怕忘记内容 所以把公司资讯尽可能隐藏 到时候看是否记得 再补上相关资讯 这次主要是在某公司的某项服务中发现一个 Blind SQL Injetion[2] 一开始只是在介绍某公司的营运项目 使用到某服务时 友人表示可以试一下 ' 结果服务就出现 500 Internal Server Error 结果在场的人都兴奋了 :) 之後就是各种尝试 以下是没按照顺序的各种尝试 使用 sqlmap[3] 尝试 -> 失败 使用手动 SQL injection ' OR SELECT 1, 2, 3, 4 '-- 系列 算栏位 -> 失败 ' UNION (SELECT ...) 系列 -> 失败 ' or (SELECT 1 ) = 1' -> 成功 透过手工 没有找到注解掉後续 SQL command 的方式 仅限 blind SQL injection 判断 ( SELECT ... ) = ... ' 结果是否成立 可以用这种方式 一个字元一个字元、二分搜寻 找到想要的内容 像是 database 版本号、table name、user name、user password 等 最难测试的部分 对方服务只要打 API 太多次後会维持在 500 Internal Server Error 一段时间 这样误判会太多 猜测这也是 sqlmap 失败的原因 ## 检讨 I ## 其实在听到的案例中 找到安全漏洞之後大多数都是没有钱的 新闻上看到拿到大笔金额的 都是幸存者偏差後的结果 如果真的想找有金钱 bounty 的 就需要用白名单直接找 ## 检讨 II ## 公司方一定要提供一种稳定的联络管道 像我第一次寄信的联络信箱 维持一段时间都没有任何 feedback 这次的案例中 其实用个人公司信箱回覆不是很理想 尤其一开始没有适当的自我介绍 (我不知道你是谁啊...) 也不知道是否代表公司 ## 检讨 III ## 从公司方的回复速度来看 大概能够了解是否有没有在意安全性问题 已一个会主动回报安全性问题给公司的提报者 看重的东西不外是钱 or 名 公司只要满足其中一点 提报者通常会安静 (不宣传) 且乖巧 (不乱打) 但是提报者其实最怕的就是公司默默把问题修好 然後发无声卡 一直没有任何 feedback 的情况下 提报者其实容易想太多 :) [1] 对方官网上唯一的联络信箱 [2] https://owasp.org/www-community/attacks/Blind_SQL_Injection [3] https://sqlmap.org/ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.162.157.30 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1619585918.A.10C.html ※ 编辑: CMJ0121 (1.162.163.219 台湾), 06/05/2021 21:06:42