Artyom Moskovsky是一名寻宝者,pentester和安全人员,他立即想问一个令人尴尬的问题:“您能赚多少钱?” 去年,他获得了Valve史上最大的奖励-在Steam上的两个主要漏洞分别获得了2万美元和2.5万美元的奖励,而对于较小的bug则获得了1万美元的奖励。
我们通信了几天,Artem告诉了他如何开始做自己的事情,需要什么技能,以及他是否将这种才能吸引到了黑暗的一面。
在2006年,我9岁的时候,我有了第一台PC,而我在不知不觉中决定要从事IT。 直到10年级为止,他都致力于编程。 此后,当信息领域首次取得成功时,我认为安全性变得更加有趣。
它始于平庸:有必要在《绝地武士》游戏中为氏族建立一个场所。 然后,选择权落在了老旧的uCoz上,但是“让网站变酷”的想法仍然存在。 我看了PHP“专家”课程。 同时,它挂在反聊天和其他主题论坛上,阅读有关典型漏洞的文章。 真有趣。
几年过去了,我仍然在寻找自己,这使我开始做广告。 然后,我使用了一个大型广告网络来仲裁流量。 好吧,当我使用它的时候,我不幸地更新了统计数据,并且由于缺少线索而灰心。 我现在记得,我的眼睛盯住了统计请求中的日期参数。 手指稍微移动一下,浏览器窗口中就会出现一个模式窗口-它是XSS。 我写了支票,一个小时后,我在网站上的余额已经显示了300美元。 然后,在10年级时,我已经赚到了第一笔“严肃的”钱,我想-是的,这是我的主题。 在下个月的这项负责工作中,我的工作量增加了十倍,帮助广告网络的站点变得更加安全。
现在,我住在敖德萨,就读于敖德萨理工大学,主修计算机科学。 但是我在互联网上的活动不应与大学联系在一起。 他没有对此产生特别的影响。 近三年来我一直在全职工作。 但是,要过上好日子,打猎就足够了。
-那么您没有从凉爽的屋顶上摔下来吗? 像他妈的,工作,我会做的。-并没有感到沮丧,但是发生了一定的变化。 感觉独立于系统。
-为什么要去学习和工作? 这是一个系统,并不是特别有效。-成为系统的一部分是一回事,而依赖于它是另一回事。 大学和工作是找到志趣相投的人和朋友的简便方法。
全职工作我每周工作四天。 我仅在有心情时才寻求漏洞,因此事实证明它相当不稳定。 但是,如果算上一年,那么臭虫会赚很多倍。
-讲完故事后,您会睡着吗?是的,优惠来了。 后者在一家优秀的国际公司中担任Application Security Expert的职位。
在2018年,Artem在Steam上发现了一个漏洞。 他在合作伙伴页面上的数据库中注入了SQL注入,并找到了下载任何游戏密钥的机会。
他在这里详细介绍了该过程。
“生成了带有36,000个游戏Portal 2键的文件。哇。
只有一组钥匙。 而目前的所有布景超过430,000。 因此,通过对keyid值进行排序,潜在的攻击者可以下载Steam游戏开发人员曾经生成的所有密钥»
“ 5个小时后,漏洞已修复,但在8个小时后就接受了分类状态,该死的,对我来说,我的大脑很难在3个小时内成功度过从拒绝到接受的阶段。
由于该漏洞未被指定为接受,因此我认为该线尚未到达我的报告。 但是他们修复了该错误,这意味着他们可以在我之前注册它。
现在,如果您把所有的钱都用在Valve的漏洞上,那么您将获得5.5万。 我想投资一些东西,但还没有决定。
“称呼你的职业是正确的事吗?”Baghanting。 当您尝试向非IT人员解释您在做什么时,就会出现问题。 黑客一词最接近他们。 我这样说并不自在,因为在我看来,这个词被威胁要破坏您的VK或通过ip计算的学童使用。 因此,我通常的回答“就像黑客一样”,伴随着尴尬的表情。
-这需要什么技能?了解事物的运作方式。 前一个结果将是对实现中可能存在的漏洞的了解。 我喜欢在猎袋中必须处理不同的技术。 这确实扩大了您的视野。 一段时间后,会出现经验和直觉,并且您已经对正在研究的应用程序产生了威胁。
我几乎总是使用Python,因为它既轻巧又漂亮。 但是,如果您需要Web上的某种输出,则可以使用PHP。 例如,现在,我正在自动化一些情报任务。 该Web界面在PHP中本地运行-输出和任务管理,任务本身发送到Python“代理”,这些代理托管在两个VDSoc上。
有时,当我匆忙写一些东西而不是写安全性时,我可以负担得起在这种“产品”中注入注入,但这不再是纵容。
-您长期选择目标了吗?我喜欢在自己使用的东西中寻找漏洞。 感觉到某种挑战,动机出现了。 有时您甚至知道他们不会为您付费,也许他们甚至不会回答,但这很有趣。
如果您在X1上选择了已经花了很多年的bug的公共程序,那么您不应该在搜索字段中依赖XSS。 要么深入到大多数人没有想到的地方,要么拿出大多数人没有想到的向量。
在Valve的故事之前,Artem 描述了他是如何在一个联合挖矿加密货币的池中找到一个漏洞的-当时每个人都对区块链和比特币的增长不知所措。
他找到了一种绕过两因素识别并拥有应用程序中任何帐户的方法。 在报告中,给了Artem一个比特币-当时是18,000美元,想想Artem现在要花多少钱,可能比我们大多数人都痛苦。
更新:这是一段有关大型和昂贵公司的故事。 必须删除它,因为并非所有大型且昂贵的公司都在指出漏洞时表示感谢。
-会很难蘸吗?我不会称之为失败。 失败是您设定目标的时候:在这里我去优步,找到RCE,他们付给Stomilien。 在我看来,正确的目标是了解公司的基础架构,了解Web应用程序的功能,其各个部分之间如何交互以及检查各种情况。 这是一项完全可行的任务,在您的影响范围之内。 漏洞的存在已经不在这个区域之内,因此,设置这样的目标首先是要嘲弄自己。
如果我不知道要走的路在哪里,那么通常我会花几天时间分散注意力,放松一下。 然后要么提出新想法,要么继续前进到另一个目标。 顺便说一句,仅当有心情时才值得寻找错误,强迫自己没有效果。 以及其他所有内容。
-您认为更有效的技术或社交方式是什么?注意什么。 Baghunters无需支付社会服务费用,甚至可能不会受到惩罚。 在实际攻击中,两者都被使用。
-好的安全卫士应该具有黑客经验?好吧,如果黑客的经验不是有条件的2年,而是能够放松注入并找到XSS的条件,那么可以。 好,我认为应该。
-无论工作与否,您的工作都是这样。 还是可以定性而差地完成?-如果您的意思是笔试,那么可以,可以定性地进行,但不能。 这些标准取决于情况:从报告的设计和建议的完整性,到漏洞的数量和严重性。
-您认为安全是敌人还是同事?-像同事一样。 我自己认为自己是安全的。
-您觉得优于传统开发商吗?开发人员是不同的。 我绝对比那些将用户输入与SQL查询连接在一起的人感到优越。 而且,如果我们将整个领域都涵盖在内,那么很难说,因为我是这两种角色中的一种或另一种。
我不时想到在信息安全领域创建和开发自己的有趣服务和工具。 因此,通常我只是在“创造”过程中。 到目前为止,一切都为我自己,但也许世界会看到我的创造。
如果世界异常匹配并且不再需要安全,我该怎么办? 我会选择在Uber和YandexTaxi工作。
但是说真的,我的技能足以胜任普通程序员的工作。 总的来说,我认为在IT部门找工作并不困难,如果您已经有了某种眼界,那么您只需加深对最有趣内容的了解即可。
-如果您现在正在编写黑客/猎手培训计划,那么会有哪些主题?程式设计 英文-所有英文相关信息。 文学-从X1阅读报告。 匿名性。 体育教育-如果是Pativen,如果匿名的话不好。 对-如果体育锻炼不好。
-我在评论中看到您被问到为什么不走阴暗面。 如果您不笑的话,那真的-为什么?和平的睡眠和内心的和谐比任何金钱都重要。
“如果你越过,你会成为一个好罪犯吗?”是的,我会把它从富人手中夺走,然后交给穷人。 如果我遇到麻烦,很可能我只是失败了,没有匿名向没有官方漏洞赏金并且对外部帮助反应不佳的公司匿名报告了漏洞。 好吧,如果我是一个好罪犯,那么您将一无所知。