夏休みチャレンジ
「夏休みを使って何かしらの成果物を作る」というイベントをサークルでやっていたので参加。
「バグハントに役立つかな」と思い、
期間中にhackeroneで公開されたレポートを読み漁って報奨金あたりをまとめてみることにした。
(実際レポートの質とか企業によって報奨金はまちまちだし、参考になるかは謎)
面白かった手法なども纏めようと思ってたが、特にめぼしいものは無かったのでボツ
ルール
Wakness
やSeverity
がNone
だったら仕方ないのでノーカン- Serverity毎に、報奨金が出た数 / レポート数 をカウント
結果
Weakness | Low | Mid | High | Cri | 報奨金合計 |
---|---|---|---|---|---|
Business Logic Errors | 1/1 | 1/1 | 0 | 2/2 | $15203.50 |
Buffer Over-read | 0 | 1/1 | 0/1 | 0 | $550 |
Classic Buffer Overflow | 0 | 0 | 2/2 | 0 | $800 |
Code Injection | 0/1 | 1/3 | 0/2 | 1/2 | $2206.78 |
Command Injection - Generic | 0 | 0 | 0 | 0/1 | $0 |
Cross-site Scripting (XSS) - DOM | 0 | 1/1 | 0/1 | 1/1 | $500 |
Cross-site Scripting (XSS) - Reflected | 0/1 | 1/2 | 0 | 0 | $250 |
Cross-site Scripting (XSS) - Stored | 1/2 | 9/11 | 21/23 | 0 | $62987 |
Cross-Site Request Forgery (CSRF) | 0/1 | 3/3 | 0 | 0 | $2750 |
Denial of Service | 0 | 2/4 | 0/3 | 0 | $750 |
Deserialization of Untrusted Data | 0 | 0 | 0 | 0/1 | $0 |
Failure to Sanitize Special Elements into a Different Plane (Special Element Injection) | 1/1 | 0 | 0 | 0 | $150 |
LDAP Injection | 0 | 0 | 0 | 1/3 | $2500 |
Misconfiguration | 0 | 0 | 0/1 | 2/2 | $17500 |
Missing Authorization | 0 | 1/1 | 0 | 0 | $250 |
Improper Authentication - Generic | 0 | 1/1 | 0/1 | 0 | $150 |
Improper Access Control - Generic | 6/8 | 7/7 | 2/2 | 0 | $22791 |
Improper Handling of Insufficient Permissions or Privileges | 0 | 0/1 | 0 | 0 | $0 |
Improper Input Validation | 0 | 0 | 0/1 | 0 | $0 |
Information Disclosure | 2/3 | 3/4 | 0/2 | 0/1 | $4625 |
Information Exposure Through Debug Information | 0/1 | 0 | 0 | 0 | $0 |
Insecure Direct Object Reference (IDOR) | 1/1 | 3/3 | 3/3 | 2/3 | $16445 |
Path Traversal | 0 | 2/2 | 0/4 | 0 | $750 |
Privacy Violation | 1/1 | 0 | 1/1 | 0 | $2400 |
Privilege Escalation | 2/2 | 4/7 | 0 | 1/1 | $13750 |
Reliance on Untrusted Inputs in a Security Decision | 0 | 0/1 | 0 | 0 | $0 |
UI Redressing (Clickjacking) | 2/2 | 0/1 | 0 | 0 | $1000 |
Use of Hard-coded Credentials | 0 | 0 | 0 | 0/1 | $0 |
Server-Side Request Forgery (SSRF) | 0 | 3/4 | 1/1 | 1/1 | $16250 |
Stack Overflow | 0 | 0 | 1/1 | 0 | $1150 |
SQL Injection | 1/1 | 0/1 | 0 | 4/4 | $10100 |
Violation of Secure Design Principles | 2/3 | 2/3 | 0 | 0 | $1150 |
ランキング
8月14日ごろ、20個以上のCross-site Scripting (XSS) - Stored
が公開され、これだけ個数が異常。
さらにその20個以上のほぼ全部に$2,500ほど出されていて、報奨金の合計はダントツだった。
- 報奨金
- レポート数
- 報奨金 / レポート数
- $5,833.33 Misconfiguration
- $3,800.87 Business Logic Errors
- $2,740.83 Server-Side Request Forgery (SSRF)
- $1,644.5 Insecure Direct Object Reference (IDOR)
- $1683.3 SQL Injection
- 報奨金が出た数 / レポート数(>=4)
感想
Business Logic Errors
が100%出ている上に平均$3,800となった。
買い物中に、個数を-1
に改ざんすることで支払い金額を操作できるようなやつ。
見つけたら積極的にレポート書きたい。
IDOR
やImproper Access Control
などのアクセス制御関係も、安定して報奨金が出ている。
ちょっとした情報でも$500とかでているのをよく見るし、ちまちまやれば結構な金額になりそう
普段からレポートは読んでいるが、こうやって数えてみると、XSS
やSSRF
などのCTFでよくある有名な脆弱性もある程度の数が見つかってることに気づけた。
根気よくやればそのうち見つかるかもしれない。頑張ろう。