Početak izazova
Kada je Red Bull predstavio svoj Program za otkrivanje ranjivosti (VDP), nagrada nije bila novac — bila je kofein. Paketi za paketima omiljenog energetskog pića čekale su hakere (lovce) na sigurnosne propuste.
Za nas je to bila savršena kombinacija: vrhunska meta, primamljiva nagrada i prestiž na Intigritijevoj ljestvici.
Jedna i pol sedmica aktivnog lova rezultirala je 46 kvalitetnih izvještaja i mnoštvom lekcija. Završili smo s otprilike ~ 30 paketa — zapanjujućih ~ 180 L Red Bulla i mjestom među Top 64 istraživača u historiji Intigritija.
Šta nam je najviše pomoglo
Nije postojao jedan alat ili čarobni trik. Pomoglo je imati jasan plan, koristiti ono što već dobro znamo i držati se osnovnih dobrih praksi. Evo šta nam je zaista napravilo razliku:
Provjereni alati
Koristili smo Nuclei, ffuf i slične alate često — ništa otmjeno, samo prilagođene šablone i wordlist-e kojima smo već vjerovali. Većinu našeg izviđanja gradili smo oko njih.
Uređeno vođenje bilješki
Vodili smo zajednički Markdown dokument da pratimo šta smo pokušali, šta je radilo i šta nije. To je ubrzalo pisanje reportova i spriječilo ponovna provjeravanja istog.
Dubinsko izviđanje
Zbog otvorenog domena i veličine Red Bulla, koristili smo Shodan, Censys i druge odlične alate da mapiramo površinu napada.
Rano prijavljivanje
Prijavljivali smo ranjivosti rano - čak i za srednje ili nejasne ranjivosti. To nam je omogućilo brži feedback i fokus na ono što je još otvoreno ili u okviru domena.
Pregled ozbiljnosti
Podnijeli smo 46 važećih ranjivosti tokom Red Bullovog VDP-a. Evo raspodjele po težini:
- Visoki: 4 ranjivosti
- Srednji: 41 ranjivosti
- Niski: 1 ranjivosti
Raspodjela nagrada
26× Srednji (nagrađeno) → po 1 paket → 26 paketa
3× Visoki (nagrađeno) → po 3 kutije → 9 paketa
1 Visoki i 15 Srednjih ranjivosti bili su duplikati i, nažalost, nisu nagrađeni
🎯 Ukupna nagrada: ~ 35 paketa Red Bulla
Ukupno: 46 ranjivosti
Postignuće na Intigritiju
Naš rad nam nije donio samo energetske napitke — donio nam je značajan rast i poštovanje. Nakon sedmica fuzzinga endpointa, spajanja vektora napada i pisanja kristalno jasnih izvještaja, probili smo se među top 64 istraživača svih vremena na Intigritiju. Za relativno kratku kampanju, to je bio ogroman pomak i dokaz da je dosljednost važnija od broja ljudi.
Ali ovdje nije bio kraj. Naš trud je privukao pažnju same platforme.
U njihovom sedmičnom pregledu
Bug Bytes #123
,
istakli su nas kao „Izbor sedmice”.
Takvo priznanje je neprocjenjivo u svijetu sigurnosti — više je od značke. To je validacija od same platforme na kojoj se
takmiče najbolji hakeri svijeta.
Podsjetilo nas je zašto radimo ono što radimo: da gradimo sigurnije sisteme, pomjeramo granice i pritom se zabavljamo.
Ovaj maraton hakovanja nas je smjestio na #14 na Red Bull ljestvici svih vremena
Osigurajmo vaš softver
Naši iskusni pentesteri simuliraju napade kako bi otkrili stvarne sigurnosne slabosti.
