25.08.2016

Extrémní výzva: 120 zranitelností za 120 dní

Bug hunting není pro každého. Několika lidem se poštěstí nějakou dosud neobjevenou zranitelnost odhalit, mnozí na svůj první objev teprve čekají. Jsou ale i tací, pro které je bug hunting jejich denním chlebem. Do které skupiny se řadíte vy?

Cover%20%281%29

Shubham Shah, bezpečnostní expert původem z Austrálie, se začátkem letošního roku rozhodl pro výzvu, kdy po dobu 4 měsíců denně objeví a ohlásí nějakou novou zranitelnost. Jeho novoroční předsevzetí se mu nakonec podařilo vyplnit a za 120 dní tedy objevil 120 různých chyb a zranitelností v kódu mnoha společností. Největší část z nich tvořilo XSS (35 zranitelností), chyby týkající se přístupu k administraci (11 zranitelností) a nezabezpečené subdomény (10 zranitelností).

Shubham také zmínil druhou stranu takovéto výzvy, a to neúměrný tlak na nutnost nalezení dalších a dalších zranitelností, aby dodržel svůj zavedený denní plán. Totiž, chyby v kódu nejsou rozloženy rovnoměrně a tedy i se všemi zkušenostmi, které Shubham měl, byla prostě období, kdy žádnou zranitelnost neobjevil. Jedním z jeho doporučení je také vyhradit si dostatek času k odpočinku a mít zájmy nesouvisející s bug huntingem. V opačném případě můžete začít trpět syndromem vyhoření, i když se jedná o vaši nejoblíbenější činnost.

Některé finanční odměny za objevené zranitelnosti mu zatím ještě nebyly vyplaceny, každopádně celkovou částku Shubham odhaduje na $80,000, což jsou v přepočtu necelé dva miliony korun. Pokud máte zájem si bug huntingem taky nějakou tu korunu přivydělat, portály Bugcrowd nebo HackerOne jsou dobrým místem, kde začít.

Více na shubs.io

Kam dál?