Bug Bounty 初體驗 - 從發現漏洞到領取獎金,我是如何拿到 1000 美元的

更新於 2024/01/14閱讀時間約 8 分鐘

前述

如果你還不知道什麼是 Bug Bounty,或者對於 Bounty Hunter 的技巧細節有興趣,我強烈推薦你閱讀 Lays 在 HITCON 2022 演講中的『從 Binary Researcher 到 Bounty Hunter 的致富之路』。這是一篇非常有趣的心路歷程,並且提供了一些寫報告的實用心得。

儘管標題是寫初體驗,但我之前已經有過一些經驗,只是第一次從多個管道了解國外的 Bug Bounty 是怎麼運作的。

這篇文章主要記錄了這個過程和分享一些較少人提及的獎金領取小知識。

Bug Bounty Program 是什麼

在一些資安網站中,我們常見 BPP(Bug Bounty Program)的縮寫,它是企業策劃的一項獎勵方案。通過該計劃,人們可以揭露並向公司報告其產品中存在的漏洞或安全性問題。如果成功揭示了一個未知且重大的安全弱點,提報者往往能獲得現金或其他獎勵。

這項計劃旨在激勵人們以安全、有責任感的方式揭露安全隱患,避免將這些漏洞用於惡意行爲或不當公開,由此可能給用戶及企業帶來的風險。透過此舉,企業得以強化產品安全,並與資安研究社區建立正面的合作關係。

我看到的漏洞

某一天讀到「nOAuth: How Microsoft OAuth Misconfiguration Can Lead to Full Account Takeover」,這是一個攻擊 OAuth 實作缺陷的方法。

以下是攻擊過程的簡述:許多網站使用 OAuth 這個標準來實作授權登入,讓使用者可以透過 Google、Facebook、Apple等帳號來登入網站,以方便使用者登入並減少需要記憶的帳號密碼。

而 nOAuth 是網頁實作 OAuth 時常見的一個問題,當使用者要使用 Entra ID(前 Azure AD)帳號登入某個網頁服務時,網頁伺服器會要求使用者先轉跳到身份提供商(Identity Provider)進行驗證。當使用者與身份提供商完成驗證後,身份提供商會提供一些聲明(Claim)給網頁伺服器,讓網頁伺服器了解登入者的 GUID、email或其他相關資訊。

問題出在網頁伺服器對於這些聲明的處理上,有些網頁只會提取聲明中的 email 欄位來識別使用者的唯一方式,這樣就仰賴身份提供商的可信度以及該欄位是否經過驗證(即使用者是否可以在身份提供商的系統中任意修改email欄位)。

而在 nOAuth 這個攻擊案例中,Entra ID(以前稱為 Azure AD)的email欄位是不可信的,Entra ID的管理員可以任意修改email屬性。以下是擷取 nOAuth 的範例圖,可以看到同一個帳號的email欄位可以是不同的。

上述說到這邊大概了解漏洞的成因了吧,當使用相同的 OAuth 帳號登入時,若網頁伺服器將可變動的電子郵件 email 欄位作為唯一的帳號辨識數據,這就會導致攻擊者可以任意切換他們想要登入的帳號!如果您想瞭解更多技術細節,可以參考原文文章中的 nOAuth 攻擊手法介紹。

回報過程& 心得

注意:回報漏洞時應遵守廠商制定的規則,僅測試授權範圍內的系統,尊重目標系統的安全和隱私,並避免進行破壞性測試。

我在閱讀這篇文章時意識到在我之前瀏覽的服務中可能存在這個攻擊手法,而且很容易重現此漏洞,只需一個 Google 帳號和一個 Entra ID 帳號(可修改電子郵件)。

於是我開始在各個服務上進行註冊,測試是否存在這個漏洞。很可惜,似乎很多網站都已經修復了這個問題,所以我花了兩個晚上的時間,找到了 5 個仍存在這個漏洞的網站。

然後我開始撰寫報告並聯繫這些網站的資安團隊。我的漏洞回報管道如下:

  • HackerOne(國外):如果廠商有在該平台上註冊,我會透過這個平台回報。從回報到拿到獎金的整個過程非常順利。
  • HITCON ZeroDay(台灣):如果我找到國內的漏洞,我會優先選擇這個平台。整個流程很順利,而且這次我也找到了一個台灣公司的網站存在這個漏洞。
  • 各個公司的資安團隊信箱:我會查詢對方是否有 PSIRT 或對外的安全團隊信箱。如果沒有,有時我會先透過支援信箱詢問。

在回報過程中,有時我會自己尋找聯繫管道或私訊對方的資安團隊信箱,但不可避免地會遇到無回應的情況。不過,這次我透過漏洞回報平台回報的都收到了修復措施或對方的回信。

令我比較意外的是,我保著佛系的心情找到一家 IT 軟體服務商也存在這個問題,由於他們沒有對外的漏洞回報信箱,我先透過 support center 的信箱詢問,並提供了初步資料(為了避免對方支援人員是外包人員,可能會洩漏不必要的資訊給第三方,造成對方不必要的困擾)。對方隔天就轉給了資安團隊人員,然後從漏洞修補到發錢只花了 2 天的時間,對方修復了這個問題並給予了 $1000 美元的獎金。但我想最讓我感到驚訝的是對方的修補速度以及願意提供額外獎金(他們並沒有漏洞獎金計畫)。對他們的迅速行動和重視程度,我感到非常開心,也很高興能幫上他們的忙。

對我而言,我覺得漏洞回報技巧以外,我還體會到保持”心平氣和“,如果你以後要回報漏洞或許可以參考以下兩點:

  • 無聲函不要氣餒:多次回報漏洞無下文就無下文,反正被打的不是我,已經盡道德義務就好。
  • 據理力爭但尊重決定:由於處理漏洞回報的人,不一定是這方面的專業,所以耐心溝通是很重要的,如果最後對方不認為是漏洞,那就尊重廠商的決定。

如何收帳

注意:依法納稅是每個人的義務,如果你的收入達到需要納稅的程度,請務必繳稅。根據我查到的說明,海外所得達到100萬元(且基本所得額超過670萬元)的人必須繳稅,參考連結

註記:每間公司的獎金提供計畫不同,有些會收取手續費,讓你實際領取的金額減少,有些則不會。

這篇文章要介紹的是如何收取海外的 BPP 獎金。大多數回報漏洞所提供的獎金都是以美元計算,所以我們將專注於美元部分。下面會分享幾種收獎金的方式。常見的獎金發放方式有:銀行轉帳、PayPal、以及轉做慈善公益三種方式。

做公益:如果你覺得這個獎金金額太少,或者覺得領取獎金需要填寫太多資料很麻煩,你可以請對方捐贈給慈善單位。捐贈時不會多收取什麼手續費,有些公司甚至會主動加碼,例如 Google 會將慈善捐贈的獎金加倍捐贈出去。

銀行轉帳,外國銀行帳號收款:如果你在當地公司的同個國家有戶頭的話,這是最推薦的方法,因為這個過程基本上不會收取手續費。不過,如果是英國發獎金給美國銀行,這樣的交易會被收取跨國手續費,而每間銀行的手續費標準也不同。如果你是專業的獎金獵人,可以考慮開立美國戶頭,畢竟很多獎金都是以美元發放。

銀行轉帳,台灣銀行外幣收款:以台新銀行的手續費為例,存入外匯存款的匯款金額手續費為0.05%,最低 USD10,最高 USD40。所以如果你的獎金只有50美元,進來就會被扣除最低的10美元,相當不划算。

PayPal:使用台灣的 PayPal 交易,會收取固定的4.40%交易費用,這還不包括你將錢換回台幣時的費用。不過優點是交易方便,如果你不在意手續費且不打算將錢再轉成其他貨幣,那可以考慮使用 PayPal。

結論

感謝 descope 發表的研究,讓我了解了一個新的攻擊手法。這篇文章也讓我發現了幾家廠商存在相似的問題,並且讓我接觸到多種漏洞回報的管道。以前工作上,我發現漏洞時都是透過業務窗口回報,所以沒有像獎金獵人一樣自己從頭到尾處理過。

因此,我整理了這篇文章,希望讓其他人在回報漏洞時能夠了解如何領取獎金,或者捐贈給公益機構。如果你發現一個攻擊技巧,千萬不要以為大家都已經知道了。網路世界上有無數的服務,並不是每個人都讀過相關的漏洞報告並進行修復。所以,請勇於嘗試!

再次提醒:當你成為獎金獵人時,切記遵守廠商的規則,成為一個負責任的駭客,共同為網路安全盡一份心力。

avatar-img
22會員
9內容數
分享對於資訊安全的分析和評(吐)論(嘈),趨勢觀察、技術分析、觀點評論、科普教育,除了特別專業的網路安全分享,也會穿插一些科普文章與實體安全討論,歡迎分享給你的親朋好友,畢竟多了解一些安全也就多一份保障。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
駭客花生醬的沙龍 的其他內容
之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。 必且只是給個方向,畢竟每個人要的或許都不同?
同一場活動,不同的人參加有不同的感想,有人覺得讚嘆,也有人覺得失望,強烈建議看完這篇的你親身去走一遭。 這篇文章將著重介紹一些大家在遊記中較少提及的部分。同時,我也要感謝公司提供機會讓我參加此活動! 希望這篇文章能給將來有意參加活動的朋友提供一些有用的知識。
這件事情是從 B.C. & Lowy 看到的翻譯影片『有個男子利用手機的無線分享功能,傳送「炸彈威脅」給多名乘客,最後飛機緊急降落,男子也隨即遭警方逮捕。』 有趣的是,我們看到警方落地後很明確知道他們要抓的是誰,雖然警方能夠獲得乘客名單,但他們怎麼知道是誰發的?這就激發了我的好奇心。
我們常常講要導入特權存取管理 (Privileged Access Management, PAM),將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎?對於合規有什麼作用?本文將聚焦於技術層面解析特權存取管理的定義與應用,並分析相關解決方案的優缺點。
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過具體案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。 必且只是給個方向,畢竟每個人要的或許都不同?
同一場活動,不同的人參加有不同的感想,有人覺得讚嘆,也有人覺得失望,強烈建議看完這篇的你親身去走一遭。 這篇文章將著重介紹一些大家在遊記中較少提及的部分。同時,我也要感謝公司提供機會讓我參加此活動! 希望這篇文章能給將來有意參加活動的朋友提供一些有用的知識。
這件事情是從 B.C. & Lowy 看到的翻譯影片『有個男子利用手機的無線分享功能,傳送「炸彈威脅」給多名乘客,最後飛機緊急降落,男子也隨即遭警方逮捕。』 有趣的是,我們看到警方落地後很明確知道他們要抓的是誰,雖然警方能夠獲得乘客名單,但他們怎麼知道是誰發的?這就激發了我的好奇心。
我們常常講要導入特權存取管理 (Privileged Access Management, PAM),將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎?對於合規有什麼作用?本文將聚焦於技術層面解析特權存取管理的定義與應用,並分析相關解決方案的優缺點。
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過具體案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
這是十二年前的事了,某一天許久沒再連絡的客戶來電告訴我系統Log出現一些異常記錄,並且有些圖檔沒有產出。我聽了覺得奇怪,系統在三年前最後一次更新後也没聽客戶說過有什麼奇奇怪怪的狀況發生,而且三年也早已過了保固期。 隨然已無合約上的關係,我還是很好奇這件事隔天就去看看到底發生了什麼事?没看没事,看了
有玩薩爾達或是看遊戲論壇的都知道,遊戲剛推出沒多久有很多複製大法的bug,有裝備複製法,有飛翔中Y+B複製法,後期還有弓箭射向遠方的複製法,不管怎樣的方法,都可以從裝備袋中無痛增加物品的數量,因為有網友分享的這些資訊,讓我在遊戲的體驗中多了很多樂趣,也加快遊戲遊玩進度。
Thumbnail
職場上有許多同事關係需要處理,平輩之間相互討論是一件挺不錯的事情,但我認為碰上程式問題應該自我排除,增加自我學習能力。你身旁也有不斷提問的 Bug 同事嗎?歡迎來看看我是如何應對這些同事的。
我辦公室的位置旁,坐了兩位IT的同事,由於工作上的需要,我經常請教他們電腦和系統的問題,有幾次看著他們在密密麻麻的程式裡搜尋,找出問題並除錯,這個debug的過程,讓我有很深的體會。  
Thumbnail
發現bug後,我通常會簡單的做一些測試先釐清大概的問題有多嚴重,如果是小問題,我會一氣呵成一次ko!但如果問題很大,問題就有了優先序,得先著手那個眼前最顯眼、影響最大的問題,至於是否還有其他未知的bug、程式結構是否還有優化空間,得日後進行更完整的debug流程再看看怎麼解決。 而關於我的身體,醫生
Thumbnail
接續上集 EP1: 挖掘bug的過程 - 乳癌檢查 , 這天我一個人到門診看粗針穿刺的報告,這次就來聊聊我發現這個bug當下的狀態吧! 進到診間,醫生點開報告那瞬間我就瞄到malignant這個字。英文雖不算太好,但看字根就猜到是惡性的意思,畢竟在程式設計的世界裡malicious這個字也是常見。
Thumbnail
當我們覺得系統疑似有bug時就得做一些測試檢查以釐清問題,今天就和大家聊聊在發現我這乳房惡性腫瘤的bug前我做了哪些檢查和心得吧!
Thumbnail
本文將介紹五月底到七月中的SOSreader平台Bug修正與功能更新。這一個多月來最重大的新功能,就是出版專題的「專題收入」頁面,讓作者能更有效率地管理出版專題的收入。此外,編輯器、網站安全性也經過調整與更新,一起來看看有哪些改變吧!
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
這是十二年前的事了,某一天許久沒再連絡的客戶來電告訴我系統Log出現一些異常記錄,並且有些圖檔沒有產出。我聽了覺得奇怪,系統在三年前最後一次更新後也没聽客戶說過有什麼奇奇怪怪的狀況發生,而且三年也早已過了保固期。 隨然已無合約上的關係,我還是很好奇這件事隔天就去看看到底發生了什麼事?没看没事,看了
有玩薩爾達或是看遊戲論壇的都知道,遊戲剛推出沒多久有很多複製大法的bug,有裝備複製法,有飛翔中Y+B複製法,後期還有弓箭射向遠方的複製法,不管怎樣的方法,都可以從裝備袋中無痛增加物品的數量,因為有網友分享的這些資訊,讓我在遊戲的體驗中多了很多樂趣,也加快遊戲遊玩進度。
Thumbnail
職場上有許多同事關係需要處理,平輩之間相互討論是一件挺不錯的事情,但我認為碰上程式問題應該自我排除,增加自我學習能力。你身旁也有不斷提問的 Bug 同事嗎?歡迎來看看我是如何應對這些同事的。
我辦公室的位置旁,坐了兩位IT的同事,由於工作上的需要,我經常請教他們電腦和系統的問題,有幾次看著他們在密密麻麻的程式裡搜尋,找出問題並除錯,這個debug的過程,讓我有很深的體會。  
Thumbnail
發現bug後,我通常會簡單的做一些測試先釐清大概的問題有多嚴重,如果是小問題,我會一氣呵成一次ko!但如果問題很大,問題就有了優先序,得先著手那個眼前最顯眼、影響最大的問題,至於是否還有其他未知的bug、程式結構是否還有優化空間,得日後進行更完整的debug流程再看看怎麼解決。 而關於我的身體,醫生
Thumbnail
接續上集 EP1: 挖掘bug的過程 - 乳癌檢查 , 這天我一個人到門診看粗針穿刺的報告,這次就來聊聊我發現這個bug當下的狀態吧! 進到診間,醫生點開報告那瞬間我就瞄到malignant這個字。英文雖不算太好,但看字根就猜到是惡性的意思,畢竟在程式設計的世界裡malicious這個字也是常見。
Thumbnail
當我們覺得系統疑似有bug時就得做一些測試檢查以釐清問題,今天就和大家聊聊在發現我這乳房惡性腫瘤的bug前我做了哪些檢查和心得吧!
Thumbnail
本文將介紹五月底到七月中的SOSreader平台Bug修正與功能更新。這一個多月來最重大的新功能,就是出版專題的「專題收入」頁面,讓作者能更有效率地管理出版專題的收入。此外,編輯器、網站安全性也經過調整與更新,一起來看看有哪些改變吧!