h1.nobbd.de - Der inoffizielle HackerOne Bug-Bounty-Überwachungs-Bot.

Immer mehr Unternehmen bieten heute ein Bug-Bounty oder "Responsible Disclosure" Programm an, bei dem Entwickler und Hacker unter geregelten Bedingungen Sicherheitslücken melden können und dafür belohnt werden. Der Anbieter spezifiziert die Richtlinien, die Seiten die untersucht werden sollen und die Lücken an denen er interessiert ist. Dann kann sich jederman im Rahmen dieser Bedingungen auf die Suche nach Sicherheitsproblemen machen und diese an den Anbieter schicken. Befindet dieser die Lücke für echt und relevant, so belohnt er den Einsender mit einem Geldbetrag, verschiedenen Goodies oder z.B. einem Eintrag in einer "Hall of Fame" auf der Webseite.

Die HackerOne Plattform


Ein Plattform, die Unternehmen und Anbieter bei der öffentlichen und privaten Durchführung von Bug-Bounty Programmen unterstützen möchte ist HackerOne.
Dazu bietet HackerOne Anbietern eine ausgeklügelte Infrastruktur, bewährte Vorlagen für Richtlinien und die Kommunikation mit den Teilnehmern, eine Security-Inbox, die die strukturierte Abarbeitung der empfangenen Meldungen erleichtert, analytische Funktionen und natürlich die Community aus vielen talentierten Hackern.
Prominente Teilnehmerprogramme sind z.B.:
Yahoo!
Twitter
Php
Ruby on Rails
CloudFlare
uvm.


Welche Lücken werden an ein Bug-Bounty Programm geschickt?


Genau diese Frage stellte ich mit vor einer Weile und machte mich auf die Suche.
Auf der HackerOne Webseite findet man eine Übersicht der teilnehmenden Programme und für jedes Programm kann man sich anschauen, welche Lücken vom jeweiligen Programm bereits veröffentlicht wurden.
Ein Beitrag wird in der Regel innerhalb von 30 Tagen, nachdem eine Partei die Veröffentlichung beantragt hat, für die Öffentlichkeit freigeschaltet.
Dies sind z.B. im Falle vom Twitter Bug-Bounty Programm derzeit:
URGENT - Subdomain Takeover on media.vine.co due to unclaimed domain pointing to AWS
Cross site scripting on ads.twitter.com
Twitter Flight SSL 2.0 deprecated protocol vulnerability.
HTML form without CSRF protection at http://try.crashlytics.com/enterprise/
Delete Credit Cards from any Twitter Account in ads.twitter.com [New Vulnerability]
...

@disclosedH1 - h1.nobbd.de


Da es allerdings etwas umständlich ist, jeden Tag alle Programme nach neuen Berichten zu durchsuchen, habe ich mich entschlossen dieses Vorgehen zu automatisieren. Entstanden ist dabei die Seite h1.nobbd.de und der Twitter Account @disclosedh1. Auf der Webseite finden man immer die aktuellen sowie eine Übersicht aller veröffentlichten Berichte aller Programme. Außerdem gibt es eine Übersicht der Programme und Teilnehmer, eine Suchfunktion und ein Feature, welches zu jedem Beitrag einen kurzen Ablauf der Ereignisse darstellt. Der Twitter Account meldet zeitnah jeden neu veröffentlichten Beitrag mit einem Tweet.

Die Übersicht zum Lernen und Vorbereiten


Abgesehen davon, dass es unheimlich interessant ist, welche Lücken welche Leute an welche Programme schicken und wie diese darauf reagieren, denke ich, dass die Übersicht eine wertvolle Ressource für beide Seiten eines Bug-Bounty Programmes ist. Anfänger können sich wertvolle Tipps im Umgang mit den Anbietern eines Programms holen und viel über verschiedene Lücken und Angriffstechniken lernen. Welche Lücken sind für die Programme relevant, welche Informationen benötigen die Entwickler um die Lücke so schnell wie möglich zu schließen und wie sieht ein guter Bericht aus? All das kann man in den veröffentlichten Beiträgen sehen und auch für bestehende und zukünftige Anbieter gibt es einiges zu sehen. Welche Lücken werden den anderen Programmen geschickt? Existieren diese eventuell auf meiner Seite auch? Welche Richtlinien setzen andere Unternehmen um und wie wirkt sich das auf die Einsendungen aus?

Doch genug geredet, schaut doch einmal vorbei und verschafft euch selbst einen Überblick: hier entlang!
Denis Werner
11.08.2014

zurück