よーでんのブログ

One for All,All for わんわんお!

hackeroneのレポート読み漁る

技術 セキュリティ

夏休みチャレンジ

「夏休みを使って何かしらの成果物を作る」というイベントをサークルでやっていたので参加。

「バグハントに役立つかな」と思い、
期間中にhackeroneで公開されたレポートを読み漁って報奨金あたりをまとめてみることにした。
(実際レポートの質とか企業によって報奨金はまちまちだし、参考になるかは謎)

面白かった手法なども纏めようと思ってたが、特にめぼしいものは無かったのでボツ

ルール

  • WaknessSeverityNoneだったら仕方ないのでノーカン
  • Serverity毎に、報奨金が出た数 / レポート数 をカウント

結果

Weakness Low Mid High Cri 報奨金合計
Business Logic Errors 1/1 1/1 0 2/2 $15203.50
Buffer Over-read 0 1/1 0/1 0 $550
Classic Buffer Overflow 0 0 2/2 0 $800
Code Injection 0/1 1/3 0/2 1/2 $2206.78
Command Injection - Generic 0 0 0 0/1 $0
Cross-site Scripting (XSS) - DOM 0 1/1 0/1 1/1 $500
Cross-site Scripting (XSS) - Reflected 0/1 1/2 0 0 $250
Cross-site Scripting (XSS) - Stored 1/2 9/11 21/23 0 $62987
Cross-Site Request Forgery (CSRF) 0/1 3/3 0 0 $2750
Denial of Service 0 2/4 0/3 0 $750
Deserialization of Untrusted Data 0 0 0 0/1 $0
Failure to Sanitize Special Elements into a Different Plane (Special Element Injection) 1/1 0 0 0 $150
LDAP Injection 0 0 0 1/3 $2500
Misconfiguration 0 0 0/1 2/2 $17500
Missing Authorization 0 1/1 0 0 $250
Improper Authentication - Generic 0 1/1 0/1 0 $150
Improper Access Control - Generic 6/8 7/7 2/2 0 $22791
Improper Handling of Insufficient Permissions or Privileges 0 0/1 0 0 $0
Improper Input Validation 0 0 0/1 0 $0
Information Disclosure 2/3 3/4 0/2 0/1 $4625
Information Exposure Through Debug Information 0/1 0 0 0 $0
Insecure Direct Object Reference (IDOR) 1/1 3/3 3/3 2/3 $16445
Path Traversal 0 2/2 0/4 0 $750
Privacy Violation 1/1 0 1/1 0 $2400
Privilege Escalation 2/2 4/7 0 1/1 $13750
Reliance on Untrusted Inputs in a Security Decision 0 0/1 0 0 $0
UI Redressing (Clickjacking) 2/2 0/1 0 0 $1000
Use of Hard-coded Credentials 0 0 0 0/1 $0
Server-Side Request Forgery (SSRF) 0 3/4 1/1 1/1 $16250
Stack Overflow 0 0 1/1 0 $1150
SQL Injection 1/1 0/1 0 4/4 $10100
Violation of Secure Design Principles 2/3 2/3 0 0 $1150

ランキング

8月14日ごろ、20個以上のCross-site Scripting (XSS) - Storedが公開され、これだけ個数が異常。
さらにその20個以上のほぼ全部に$2,500ほど出されていて、報奨金の合計はダントツだった。

  • 報奨金
    1. $62,987 Cross-site Scripting (XSS) - Stored
    2. $22,791 Improper Access Control - Generic
    3. $17,500 Misconfiguration
    4. $16,445 Insecure Direct Object Reference (IDOR)
    5. $16250 Server-Side Request Forgery (SSRF)
  • レポート数
    1. 36個 Cross-site Scripting (XSS) - Stored
    2. 17個 Improper Access Control - Generic
    3. 10個 Information Disclosure
    4. 10個 Insecure Direct Object Reference (IDOR)
    5. 10個 Privilege Escalation
  • 報奨金 / レポート数
    1. $5,833.33 Misconfiguration
    2. $3,800.87 Business Logic Errors
    3. $2,740.83 Server-Side Request Forgery (SSRF)
    4. $1,644.5 Insecure Direct Object Reference (IDOR)
    5. $1683.3 SQL Injection
  • 報奨金が出た数 / レポート数(>=4)
    1. 4/4 (100%) Business Logic Errors
    2. 9/10 (90%) Insecure Direct Object Reference (IDOR)
    3. 15/17 (88.2%) Improper Access Control - Generic
    4. 31/36 (86.1%) Cross-site Scripting (XSS) - Stored
    5. 5/6 (83.3%) Server-Side Request Forgery (SSRF)
      5/6 (83.3%) SQL Injection

感想

Business Logic Errorsが100%出ている上に平均$3,800となった。
買い物中に、個数を-1に改ざんすることで支払い金額を操作できるようなやつ。
見つけたら積極的にレポート書きたい。

IDORImproper Access Controlなどのアクセス制御関係も、安定して報奨金が出ている。
ちょっとした情報でも$500とかでているのをよく見るし、ちまちまやれば結構な金額になりそう

普段からレポートは読んでいるが、こうやって数えてみると、XSSSSRFなどのCTFでよくある有名な脆弱性もある程度の数が見つかってることに気づけた。
根気よくやればそのうち見つかるかもしれない。頑張ろう。