Aún no tengo demasiadas historias y cuentos que relaten mi experiencia en el fascinante mundo del Bug Bounty en este blog, ya iré trabajando en algunas entradas y prometo traer cosas técnicas y chulas, pero el día de hoy quiero traeros una curiosa historia que me ha sucedido esta semana en un BBP (Bug Bounty Program) de una conocida plataforma de Bug Bounty, que me enseñó a ver las cosas con perspectiva, no dar por hecho nada, considerar disfrutar del camino en este viaje y no ansiar tanto el destino (con desesperación). Definitivamente el mundo del Bug Bounty no deja de sorprenderme!
La historia se cuenta bastante rápido (no os aburriré con demasiadas palabras), solo quiero dejar el mensaje que da título a esta entrada. Y es que muchas veces habremos podido leer y escuchar concejos de todo tipo a la hora de iniciarte en el mundo del Bug Bounty, desde tomártelo con calma y no pensar en la recompensa económica, luchar por cada reporte, automatizar todos los procesos posibles, revisar sitios menos visibles o explorados, no recoger frutas bajas y otros tantos que son comunes y recurrentes.
En este caso me voy a centrar en el concepto de «fruta baja», que apoyados en la IA se puede definir como:
Aquellas vulnerabilidades de seguridad que son fáciles de encontrar y explotar en un determinado sistema. Estas son fallas de seguridad que generalmente requieren poca o ninguna experiencia para detectarlas y que suelen ser errores básicos en la implementación o configuración del software.
Sobre el impacto de las mismas, pues ya tenemos variedad, podemos hablar de credenciales por defecto o débiles, fuga de información sensible, errores de configuración varios, incluso algunas inyecciones, como ha sido mi circunstancia.
En ocasiones estos hallazgos pueden pasar desapercibidos para bug hunters más experimentados o que intentan llegar a aquellos bugs más críticos y por tanto que tengan mayor recompensa económica.
Una tarde cualquiera, mientras hacía algo de scrolling con el móvil, sin tampoco demasiadas pretensiones, observé que me había llegado una invitación a un programa privado:
Como de costumbre, me di una vuelta por el perfil del programa a revisar el alcance, las reglas, las vulnerabilidades aceptadas, las fuera de alcance, las no calificables, las recompensas y demás detalles del programa. Vamos, lo que viene siendo una revisión general.
El alcance es majo, unos pocos dominios, aplicaciones móviles y unos cuantos wildcard (algo especialmente atractivo). Este vistazo general te ayuda a reconocer e interpretar la magnitud de la compañía que tienes delante, es posible que te encuentres ante una marca a la que no hayas tenido la oportunidad de conocer jamás, entonces es bueno hacer este reconocimiento.
Tampoco te creas que esta primera revisión sea exhaustiva y emplee demasiado tiempo en ello, un dato que me suelo fijar es la fecha de lanzamiento del programa, que en este caso fue septiembre del 2023, que uniéndolo (una vez aceptada la invitación), al apartado del «Hacktivity» y al apartado «Thanks», puedo tomar la lectura e interpretación de que se trata de un programa super revisado por múltiples bug hunter.
Ya por último me suelo ir al portal principal de la compañía y empiezo a darle un vistazo a nivel usuario, incluso en muchas ocasiones sin interceptar peticiones con Burp, Caido o similar. Os repito, en este punto mis pretensiones son vagas.
Pero en este caso y de frente me topo con una típica burbuja de chat, que pienso: ¿Qué pasa si inyecto X aquí y a ver que responde?
Donde X es despejado con el siguiente tipo de payload:
<h1>HTML Injection</h1><a href="https://infayer.com/" target="_blank">Click Me</a><br><img src="https://infayer.com/test.png">
Para mi sorpresa, el código HTML es renderizado inmediatamente. Mi reacción acto seguido podría ser la misma que Bad Ape en War for the Planet of the Apes:
¿Hasta aquí, cuanto tiempo llevo sentado detrás del ordenador revisando este programa? 20 minutos quizás, de los cuales 15 o 18 minutos fueron empleados revisando los detalles del perfil del programa. Entonces literalmente tengo este hallazgo en algo así como 2 minutos, quizás menos, por que el payload no lo suelo tipear a mano, normalmente lo cojo de mi «cheat sheet» de cabecera. XD
Sin mucha cabeza en aquel momento y bastante iluso por mi parte, directamente me pongo a redactar un breve reporte para notificar este hallazgo. Minutos después ya lo tengo listo y antes de enviarlo me detengo y reflexiono: ¿Pero que estoy haciendo? ¿Realmente pienso que seré el único que ha visto esto? ¿A qué lugar de la posición me llevará este dupe de manual?, así varios son los pensamientos que me inundan en aquel momento y por un segundo pienso en: ¿Y que tengo que perder? ¿Alguna penalización en mi reputación?, entonces después de un breve debate interno y mental, el dedo índice de mi mano derecha pulsa sobre el botón para enviar el reporte y el lado más racional de mi cabeza sentencia diciendo:
Bueno, inmediatamente después me levanto de la silla pensando en que el dupe está al caer…
Pasado 2 horas desde este evento, nuevamente revisando la bandeja de entrada de mi buzón de correo, para mi enorme sorpresa observo estos 2 correos referente a mi reporte:
Y no, increíblemente no se trató de un DUPE como una olla, mi reporte no solamente fue aceptado, sino que también fue simbólicamente gratificado.
Definitivamente el mundo del Bug Bounty no deja de sorprenderme en situaciones como esta, estoy convencido que muchos de los bug hunter han pasado numerosas veces por ese mismo sitio y han podido darse cuenta de este bug, entendiendo que se trataba claramente de una «fruta baja», directamente han podido pasar de reportarla y por ende perder el tiempo. No nos engañemos, no se trata de un problema severo de seguridad y estoy convencido que situaciones como la redactada está más cerca de ser una anécdota que una realidad, pero la lectura adicional que saco es que en ningún momento debes dudar de tus hallazgos, obviamente y por tu bien, siempre debes intentar elevarlo al máximo. El Bug Bounty es un mundo muy competitivo y está lleno de talento y con profesionales muy comprometidos (como nuestro seleccionado nacional, doble campeón de la Ambassadors World Cup de HackerOne, enhorabuena cracks!), sin embargo creo que el resto de mortales, podemos hacernos un pequeño hueco, aprender constantemente y sobre todo disfrutar del proceso.
Por último y que no se me pase, también quiero dejar en relieve la inmediatez del BBP en el tratamiento de mi reporte, sin lugar a dudas hasta el momento, los más veloces. Es de agradecer!