- Mange utviklere glemmer å fjerne potensielle trusler fra inndata, som kan lede til XSS-sårbarheter. Flere glemmer også å oppdatere systemene for å fikse kjente sårbarheter i teknologien de bruker. Dette er det minste noen kan gjøre for å holde sitt eget system sikkert, sier Siddarth Dushantha, student og dusørjeger, til kode24.
Siddharth er 19 år og født og oppvokst i Stavanger. Nå tar han en bachelor i IT- og informasjonssystemer ved Universitetet i Agder.
I august starter han i jobben som sikkerhetsanalytiker for Netsecuritys SOC-tjeneste.
På dagtid sikrer Jon Are koden hos SpareBank 1. På kveldstid angriper han andres
Startet å kode tidlig i tenårene
Siddharth startet å kode i 13-års alderen.
- Jeg hadde en stor interesse for hacking og ble senere en veldig stor fan av Open Source Intelligence (OSINT), sier han.
Dette ledet til at Siddharth utviklet et verktøy som heter Sherlock da han var 15 år. Prosjektet har blitt vist fram på populære YouTube-kanaler som NetworkChuck og NullByte, som har fått millioner av visninger.
I tillegg har Sherlock blitt inkludert i Kali Linux sine offisielle repos, og har blitt brukt av Tracelabs for å hjelpe dem å finne savnede personer.
- Sherlock er et prosjekt som jeg er veldig stolt av, sier Siddharth.
Automatiserer jakten
Ifølge Siddharth har han jaktet bug bounties i snart fire år.
- Men de første to årene gikk treigt, fordi jeg ikke skjønte helt hva jeg drev med.
For eksempel visste Siddharth litt om Cross Site Scripting-sårbarheten (XSS).
- Jeg gikk bare rundt og testet samme payloaden (alert(1)) på alle input-felter helt til jeg fikk en popup. Nå har jeg mye mer peiling på hva jeg gjør og er ikke helt på bærtur. Dette er fordi jeg er nysgjerrig og ønsker å forstå ting inn og ut.
Siddharth har pleid å delta på mange ulike bedrifters bug bounty-programmer, men har i det siste fokusert mest på Snapchat sitt program. En typisk jakt starter med rekognosering, der han finner så mye info som mulig om bedriften. Dette kan være domener, underdomener, mobil- og desktop-apper, og IP adresser med interessante porter.
- Etter det bruker jeg ulike metoder for å finne forskjellige typer sårbarheter. Jeg gjør en del manuell jakting, men er en stor fan av automatisering. Derfor pleier jeg å enten lage egne scripts eller bruke andres, som jeg finner på GitHub. Dette lar meg fokusere på andre ting i jaktingen som må gjøres manuelt, sier Siddharth.
«Sherlock er et prosjekt som jeg er veldig stolt av»
Fant bug i Snapchat
- Hvor mye pleier du å tjene?
- Så lang har jeg tjent mellom 2.500 og 10.000 kroner. Jeg har også fått noen gavekort på 250 kroner fra Hennig Olsen for å kjøpe iskrem :)
- Hvor mye tid i uka bruker du på dette?
- Jeg bruker mange timer i uken. Men ettersom jeg studerer og skal starte å jobbe, prøver jeg å kutte ned tiden for å fokusere mer på studiene. Derfor må jeg jobbe smart og effektivt. Dette gjør jeg ved å automatisere mye av det jeg gjør, slik at jeg kan få tid til fokusere på studiene og holde meg oppdatert på nye sårbarheter.
Siddharth forteller at han har funnet mange kule bugs, slik som Remote Code Execution (RCE), XSS og Path Traversal. Men den kuleste feilen han har funnet er en bug i Snapchat.
- Jeg fant ut at "snappene" som blir mottatt ikke blir slettet. Dette skyldes en feil i koden, og man kunne egentlig gjenopprette bildene og videoene. Grunnen til at jeg syntes at dette var kult var fordi hele konseptet til Snapchat jo er å sende bilder som "forsvinner" etter at mottakeren har sett på dem. Men så så var det egentlig ikke det som skjedde, sier han.
Anbefaler Portswigger
Siddharth mener at bug bounties er viktig ettersom det lar folk bruke hacke-kunnskapene sine til noe bra.
- Man kan selvfølgelig delta i Vulnerabilitiy Dislcousure Programs (VDP) hvor man ikke får noe for å finne bugs. Men personlig føler jeg det gøyere å få en liten belønning. Det trenger ikke å være penger, men kan være ting som t-skjorter, kule kopper og merch for å minne deg på den kule bugen du fant.
- Hvor starter man hvis man vil begynne med dette?
- Jeg anbefaler å begynne med PortSwigger sitt Web Security Academy som er gratis. Man kan også begynne ved å ta modulene og "Learning Paths" på TryHackMe.
- Hva er ditt beste tips?
- Mitt beste tips er å hjelpe hverandre og dele det man har lært slik at alle kan bli flinkere til bug bounty-jakting, sier Siddharth.