🍡 🍃 💪🏿 すべてのバグが重要：会社でバグバウンティプログラムを実行する方法 🏇🏽 🕋 ♟️

Timewebエクスペリエンス

どの企業も、サービスや製品の情報セキュリティの状態について外部の視点を必要としています。この問題はさまざまな方法で解決できます。その1つは、バグバウンティプログラムへの参加です。

バグハンティングの新しい力としてのバグバウンティプログラム

バグバウンティは、ソフトウェアのバグ、悪用、および脆弱性を見つけるための金銭的報酬またはその他の利益を提供するプログラムです。 Bug Bountyプログラムは、Facebook、Google、Reddit、Apple、Microsoftなど、多くの企業によって実装されています。

企業は、このようなプログラムを独自に立ち上げ、すべてのプロセスと相互作用を独自に組織化できます。 2番目のオプションは、特別なBug Bountyプラットフォームを利用することです。契約を締結すると、バグハンターの軍隊が働き始めます。

Timewebは、約1年前にBugBountyプログラムを開始しました。当時、同社にはこの分野での経験を持つ専門家がいなかったため、すべてを試行錯誤する必要がありました。ウェブ上では、このプロセスを構築するための推奨事項を共有する人はほとんどいないため、自転車が発明されることが多く、知識は通常、コーヒーマシンの同僚との会話で伝達されます。

この記事では、Bug Bountyプログラムの立ち上げを整理する方法、これを行ったことがない場合、注意すべき点、および情報セキュリティシステムのステータスを確認する方法について説明します。

見てみな！

なぜバグバウンティプログラムを立ち上げたのですか？

私たちの仕事は、情報セキュリティシステムを新しい、より高い品質レベルに引き上げ、あまりお金をかけないことでした。 Timewebは、複雑なインフラストラクチャと多数の重要なサービスを備えた成熟した企業であるため、サービスをテストして脆弱性を修正する順序と、最初に何を開始するかは、当時の私たちにはまったくわかりませんでした。

情報セキュリティシステムをチェックする方法はいくつかあります。 Bug Bountyプログラムを開始する前に、さまざまなオプションを検討して分析しようとしました。それらの中で、外部監査はおそらく問題の最も一般的な解決策です。監査のおかげで、複雑で非標準的な問題を見つけることができますが、多額の支払いを行った後でも、本当に必要なものが得られるかどうかはわかりません。

もう1つの方法は、チームをトレーニングし、従業員の能力を開発することです。ここでは、チームのリソースがまだ限られていることを理解する必要があります。もちろん、考えられるすべてのバグを自分で見つけることは不可能です。

情報セキュリティシステムのチェックに関しては、ユーザーからのコメントやメッセージを効果的に処理できる場合は、チケットやテクニカルサポートへの顧客のリクエストも役立ちます。

並行して、同僚と話し合い、他社のバグを見つけるプロセスがどのように構成されているかについて専門家の意見を集めました。推奨事項のおかげで、バグバウンティプログラムに注意を払うことにしました。

バグバウンティプログラムの開始

最初に考慮すべき重要なことは何ですか？

バグバウンティプログラムとプラットフォームにはさまざまな種類があります。

最初の段階では、パブリックプログラムとプライベートプログラムのどちらかを選択し、後者に焦点を当てることにしました。公開プログラムではアクセスが制限されていません。誰でもバグを検索できます。プライベートプログラムで-招待によって。どちらの場合も、バグは当事者の合意によってのみ開示されます。公開プログラムを開始するには時期尚早であると判断しました。まず、サービスと製品に重大な脆弱性が含まれていないことを確認する必要があります。

Bug Bountyプラットフォーム自体については、既存のオプションを分析し、バグハンターの数とサービスのコストの観点から最適な最適なオプションを選択しました。

市場で最も有名なバグバウンティプラットフォームのリストは次のとおりです。

また、Open Bug Bountyプラットフォームについても言及する必要があります。これは、情報セキュリティ愛好家を団結させ、倫理的なハッキングを普及させる非商用のBugBountyプラットフォームです。研究者は、会社が報酬（現金支払い、商品、割引、または自社製品）を提供するソフトウェアの作業で見つかったバグを報告できます。たとえば、Timewebは、バグハンターに無料のホスティングを提供します。 Open Bug Bountyポリシーに従って、報告できるのはアクティブな介入を意味しないバグのみであることに注意してください。たとえば、RCEとSQLは報告できません。

まず、社内で作業を構築しました。バグの修正を担当し、レポートの範囲と応答を監視する部門が相互にどのように相互作用するかを決定しました。

プログラムを開始する前に、できる限りのことを行い、考えられるすべてのバグを自分で見つけたことを確認することをお勧めします。仕事のためにバグハンターに与える予定の製品の内部と外部を知ることも重要です。現在どのような問題があり、何があったのか。体系的なエラーが表示されるかどうか。この情報により、正しいスコープを形成できます。簡潔に、しかし包括的に、入力データを提供し、バグハンターの要求を説明します。

プラットフォームが選択され、準備が完了しました-作業の~~ためにコーン~~を~~充填し~~始めます！

私たちはスコープを形成します

スコーププログラムが存在した年に私たちが理解したことをお伝えします。これは、バグバウンティプラットフォームで記入された一種のオファーであり、会社とバッグハンターのコミュニティとの間の合意です。次の情報をスコープに含める必要があります。

目的を示してください：私たちがチェックしたい有害な影響または破壊的な結果の存在
すでに知られている、会社に関係のない、または興味のないバグに関する情報（それらを見つけることに対する報酬は提供されません）
従うべき脆弱性を検索するためのルールと境界
賞のサイズ。

スコーピングに多くの時間を費やすほど、良い結果が得られます。将来、指定された情報に基づいてすべてのインシデントを解決できるように、すべての項目を注意深く詳細に入力するようにしてください。

現在のプログラムの例のポイントの内容を含むスコープセクションの例：

最初にチェックするものをどのように選択しますか？最も検証が必要となる可能性が最も高いサービスまたは側面をプログラムに含めることをお勧めします。何を探す必要があるのかをすぐに理解することは不可能です。方向を選択することしかできません。最も問題のあるポイントを見つけることが重要です。新しいレポートと新しいプログラムごとに、経験を増やし、次に進むべき場所をより明確に理解しました。

これまで、すべてのサービスと製品がBugBountyプラットフォームにリストされているわけではありません。たとえば、一部のサービスはオープンソースソリューションに基づいて作成されているため、これは意図的に行われました。サードパーティのチームが開発とサポートに従事しているため、Bug Bountyプラットフォーム内でそれらを表示することは意味がないと考えています。これは、チームが関連性のみを監視しているためです。これらのサービスの。

BugBountyプログラムに含まれている製品を変更できるかどうかを検討する価値があります。それを開発できるチームはありますか。アーキテクチャのニュアンスが許すか。

私たちの側では、バグバウンティプログラムの間、私たちは常にすべてのサービスとネットワークを自分たちで調査しました。これにより、コストを節約できました。見つかったバグを修正し、スコープを更新しました。

プログラムの重要な要素は、見つかった脆弱性の重大度のレベルを判断し、報酬の額を確立することです。エラーの重大度と報酬のサイズの間の透過的な関係をキャプチャするようにしてください。透明性が高いほど、質問は少なくなります。賞のサイズをCVSSスケールに関連付けることをお勧めします（脆弱性の重要性を評価するためのオープンスタンダード）。さらに、Bug Bountyプラットフォームには通常、報酬の額を決定する方法に関するマニュアルと指示が表示されます。サイト管理者はこれを支援できます。バグハンターの仕事の支払いレベルをナビゲートするには、HeadHunterポータルにアクセスして、示された給与を分析します。ハッカーが活動しなくなった場合は、報酬を上げる価値があるかもしれません。

Timewebでは、ビジネスへの影響に応じて、状況の重大度を独自に評価します。ビジネスへの影響の重大度には、次の4つのレベルがあります。

低（ログイン名やアバターを変更する機能など、他のユーザーに関する重要ではない情報の受信、およびこの情報の整合性と可用性の違反）
medium ( , , ; )
high ( “” ; : , , , ; )
critical ( ; ).

上記の情報に加えて、脆弱性のタイプ（RCE、XSS、SQLインジェクション）と、ハッキングまたはアクセスするために管理されたサーバーの重要性についても説明します。

したがって、見つかったバグの重大度のレベルを確立するために、脆弱性のタイプ、サーバーの重要性、および会社への影響の程度を分析します。これらの基準に基づいて、検出された各脆弱性のレベルを決定します。これにより、バグハンターの報酬額が決定されます。ただし、すべてを考慮に入れることは不可能であり、見つかったバグの重大度を判断するときに、主観性がなければできないことがよくあります。

脆弱性の重大度評価プロセスの詳細については、次の表を参照してください。

サーバー/サービススコアテーブル

バグバウンティタイムライン：どうでしたか？

プログラム＃1手放す

： Timeweb.ruホスティングパネルScop

： Scopは、他社の例に基づいて編集されました。ネタバレ：やらないで！しかし、私たちはどこかから始めなければなりませんでした。

結果： 1週間の間に、主に重大な脆弱性を示す20のレポートを受け取り、...アカウントに入れたすべてのお金（数千ドル）を使いました。この7日間、問題のパターンが繰り返されました。入力のフィルタリングとデータの表示に関する複数の問題、アプリケーションのビジネスロジックのさまざまな違反、およびOWASPトップ10のその他のリスクです。プログラムを一時停止することにし、翌月は見つかったバグを修正して分析するだけでした。

これらの20のレポートを分析するとすぐに、次に何をすべきかがわかりました。開発中にどこを掘るのか、セキュリティを適切に処理する方法です。

プログラム＃2

私たちはそれをあきらめます： Timeweb.ruホスティングパネル（再び）

Scop：以前に受け取ったレポートに基づいてScopを修正しました：修正された脆弱性を削除し、私たちにとって興味深いことに焦点を当てました。

結果：今回は多くの重要なレポートを受け取りましたが、より具体的で具体的です。すべてのバグバウンティタスクは緊急であると識別されました。 2番目のプログラムのおかげで、開発プロセスとバグ修正を調整しました。

プログラムNo.3

引き裂かれることを諦めています： VDS Timeweb.ruパネル、チェック公式サイト

結果：さまざまな重大度のバグを含む約40件のレポートを受け取りました。

当社の製品は機能が類似しているため、機能だけでなくバグも相互に継承する場合があります。新しいパネルには、以前のBugBountyプログラムですでに見つかったバグが含まれていることが判明しました。このようなバグは重複としてスコープに登録されていたため、再度料金を支払う必要はありませんでした。

フォームとXSSの脆弱性に関する多くの問題がサイトで見つかりました。

プログラム＃4

範囲： 4番目のプログラムの主な目標は、SQLインジェクションを見つけることでした。

結果：プログラムを開始する前に、私たちはプログラムがどのように機能するかを独自に調査し、自社製品の調査を実施しました。重大ではない脆弱性は1〜2個しか見つかりませんでした。夜にこのプログラムを開始してから2週間後、待望のレポートを受け取りました。バグハンターが、blind-SQLiを使用して課金データベースに破壊的な影響を与える攻撃ベクトルを示しました。この脆弱性は5分以内にすばやく閉じることができました。これは以前のグローバルバージョンのカーネルにあり、最新のグローバルバージョンのコントロールパネル（仮想ホスティング、VDS、Webマスター）でいくつかのアクションのプラグインとして引き続き使用されています。このような深刻な問題を検出し、時間内に修正できたことを嬉しく思います。とりわけ、他のすべての同様のコードセクションを類推によって徹底的にチェックしました。

プログラム＃5

私たちはそれを慈悲に捧げます：仮想ホスティングTimeweb

仮想ホスティングは、大まかに言えば、何百ものクライアントに分割された物理サーバーです。クライアントは、このサーバー上でWebアプリケーションと作業ディレクトリをホストし、サーバーへのSSHおよびFTPアクセスを持っています。各クライアントには独自のクライアントがあります。このようなサーバーでは、他のサービングサービスやデータベースと相互作用する、サービングサービススクリプト、サービス、およびその他のカスタマイズが実行されています。

範囲：ここでのバグハンターの主な目標は単純でした。ルートに特権をエスカレートするためのベクトルを見つけることです。また、他のユーザーとそのリソースへの影響のベクトルの検索、サービススクリプトへの影響のベクトルの検索、および仮想ホスティングとサービスサーバーの両方で、仮想的なアクセス可能性がある他のサーバーへの攻撃のベクトルの検索も期待していました。

結果：機能が本番サーバーと同様の、バグハンター用のクライアントなしの特別なサーバーを割り当てました。現時点では、バグハンターは10個のバグしか発見していません。 2つのレポートは、rootへの特権エスカレーションを伴う攻撃ベクトルを示しましたが、他のサーバーに到達できませんでした。これらの問題はすぐに修正されました。

5番目のプログラムを開始する前に、サーバーとソフトウェアの更新、弱点への対処、外部ネットワークにアクセスできないローカルネットワークへのサービスサービスの展開に突入しました。このプログラムのおかげで、サーバーの内部システムをリファクタリングします。これにより、エラーについて書き込む前でも、エラーに気付くことができました。

そして、それはあなたをどこに連れて行ったのですか？

バグバウンティプログラムの結果についてバグバウンティプログラムの

ほぼ1年間、72件の報告がありました。これらのうち、36のレポートは私たちの範囲の規則に準拠していません。ただし、バグハンターは7つの重大な脆弱性、9つの高、10の中および低の重大度のバグを発見しました。

このような結果を得るために、バグハンターの報酬（プラットフォーム料金を除く）に15,000ドル以上を費やしました。最小の報酬は50ドルでした（IDORを介して請求書の支払い方法に関する情報を受け取ることができる脆弱性の場合）。これまでに支払われた最高の報酬は$ 1,500です。平均報酬：約423ドル。

品質の結果について：私たちはIBの筋肉のトーンを

維持します

バグバウンティプログラムはバグの継続的かつ継続的な検索を意味するため、情報セキュリティチームは24時間年中無休で警戒しています。

バグハンターはハッカーの行動をシミュレートしていると言えます。彼らは毎日認可された「有害な」活動を生み出し、私たちに目を開いたままにし、警戒を怠らないように強制します。

トレンドに

追いつくために、 Baghuntersは新しいサービス、なじみのないユーティリティ、最新のハッキング技術を使用しています。これのおかげで、私たちのスペシャリストは彼らの能力と知識を更新することができます。

サービスと製品の改善

一般的な情報セキュリティ、特にバグバウンティプロセスは、常にクライアント向けのサービスと製品の改善と開発を目的としています。

専門家のコミュニティに参加する

情報セキュリティの実装には、社内管理者だけでなく、さまざまな経験と知識を持つ専門家の本格的なコミュニティも関与しています。

バグハンターに、見つかったバグを再現する方法や修正する方法を尋ねることがよくありました。スペシャリストは、テレグラムで直接通信し、ビデオを録画する準備ができていました。これには非常に感謝しています。

私たちは規律を守ります

バグバウンティプラットフォームを使用して、私たちは自分自身とクライアントだけでなく、バグハンターに対してもバグを閉じる責任があります。彼らはフィードバックを待っています。相互作用は確立された規制に従って行われるため、現在のレポートに関する情報を定期的に更新する必要があります。

3日以内に、バグハンターの報告に答える必要がありました。エラーでバグが見つかったのか、その重大度はどの程度か。もちろん、1週間以内に回答することもできますが、この動作はハッカーに優しいものではなく、バグハンターを遠ざける可能性があります。

私たちは、ユーザーがよりよく理解

Baghuntersは、同じユーザーと情報セキュリティの観点から、特定のユーザー体験を提供してくれる顧客です。

バグバウンティの後に人生はありますか？

私たちは、実績のあるプラットフォームを備えたプライベートバグバウンティプログラムと引き続き協力しています。バグを閉じて修正するためのすべての内部プロセスを効率的に構築したいと考えています。現在やり取りしているバグハンターの活動が少なくなっていることがわかり次第、さらに多くのレポートを受け取り、考えられるすべての問題を見つけるために、より大きなバグバウンティサイトを含む他のサイトに移動しようとします。

私たちの開発のもう1つの分野は、安全な開発の原則の実装でした。通常、開発者は機能的なプログラミングを行っており、セキュリティは後回しになっています。コードセキュリティレビューをコードレビューの重要な部分にすることが重要です。

Timewebチームは、サービスの情報セキュリティを監査するための新しい最新のツールを導入しようとしています。バッグハンターとの協力を通じて、いくつかのリソースについて学びました。

徐々に、情報セキュリティの問題を解決するために技術サポートスタッフを関与させます。同僚をトレーニングし、チームを強化します。

バグバウンティプログラムについて無期限に話す準備ができています。おそらくあなたはまだ私たちの専門家に質問があります-コメントに書いてください、他に何が興味深くそして読むのに役立つか。以下のすべての質問に答えるか、次の記事でより詳細に説明しようとします。

すべてのバグが重要：会社でバグバウンティプログラムを実行する方法