Перевод цикла статей по методологии TBHM. В данной статье будет введение в методологию и её философия.

The Bug Hunters Methodology

Добро пожаловать! Это сборник советов, трюков и инструментов, которые можно использовать при оценке безопасности веб-приложений, а если быть точным для поиска уязвимостей (багов) в bug-bounty программах.

Эта сокращенная методология тестирования для использования в bug-bounty программах. Она основана на исследованиях и написана для обсуждения на Defcon 23 «How to shot Web: better hacking in 2015».

Содержание:

  • Философия
  • Обнаружение
  • Изучение архитектуры веб-приложения
  • Авторизация и сессии
  • Тактический фаззинг
  • XSS
  • SQLi
  • File Inclusion
  • CSRF
  • Привилегии, Передача данных и Логика
  • Веб-сервисы
  • Мобильные уязвимости
  • Дополнительная информация

Цель данного проекта это показать инструменты и ресурсы баг-хантерам и веб-хакерам, которые пригодятся в их повседневной работе.

Видео с презентации: https://youtu.be/-FAjxUOKbdI

Автор методологии: jhaddix

Философия

Отличия от стандартного тестирования

Один-источник:

  • в основном ищут общие уязвимости
  • нет конкуренции с другими
  • мотивация — деньги
  • гарантированная оплата не зависящая от критичности бага

Краудсорсинг: поиск уязвимостей, которые не так просто найти

  • основное требование — скорость
  • конкуренция
  • мотивация — поиск уникальных уязвимостей
  • размер оплаты зависит от критичности уязвимости

Советы/Примечания:

  • к первым относятся — Google Paypal, etc
  • ко вторым — Bugcrowd, H1, Synack, etc

Из-за конкуренции стоит заранее создать шаблоны отчетов для часто встречающихся классов уязвимостей. Очевидно, что будут встречаться уникальные уязвимости, но наличие шаблона для часто встречающихся уязвимостей очень важно. Совет от профессионала: всегда помните о необходимости изменения URL-адресов и доменов в ваших шаблонах. Ничто так не приведет к аннулированию бага быстрее, чем неправильный домен или URL-адрес в отчете.

При разработке этих шаблонов есть два замечательных ресурса для чтения: