Nein, ich meine nicht die Süßigkeit mit Kokosgeschmack 😀

Hier will ich euch den Weg zu meinem ersten Bug-Bounty beschreiben. Das hat mir plötzlich gezeigt, dass man mit Hacking unabhängig von Qualifikation, Standort und verfügbarer Zeit Geld verdienen kann. Niemand will hier Qualifikation X sehen oder Zertifikat Y. Wenn du einen Bug findest und einen ordentlichen Proof-of-Concept (POC) vorlegst, bist du qualifiziert.

Bevor ich mich bei den üblichen Bug-Bounty-Plattformen angemeldet habe, hab ich theoretisches Wissen zu Web Application Pentesting (vor Allem OWASP Top 10) gesammelt.

So wirklich verstanden hatte ich zu diesem Zeitpunkt noch nicht wirklich viel – wie ich dann festgestellt habe. Selbst wenn ich eine vermeintliche Schwachstelle gefunden hatte, konnte ich schwer abschätzen, welchen Impact die Schwachstelle hat. Nach ca. 6h Testen an einem Bug-Bounty-Programm eines Reiseveranstalters fand ich dann in einer Kommentarfunktion eine Stored-XSS-Schwachstelle.

Zu erst war ich mir nicht sicher, ob ich das melden kann, da mir wieder der Impact, also die Folgen eines solchen Angriffs nicht 100% klar waren. Nach kurzen Googeln war aber klar stored XSS ist eine schwerwiegende Lücke. Also hab ich ein paar Screenshots gemacht und den Bug eingereicht. Nachdem ich quasi stündlich aufs Handy geguckt habe, kam nach 2 Tagen die Nachricht triaged. ‚Ist das gut, ist das schlecht?‘ dachte ich mir.

Wieder nach endlosen Warten wurde dann die Kritikalität der Schwachstelle auch noch hochgesetzt und ein Bounty von 1000 USD festgesetzt!!! Ich war außer mir und konnte es nicht glauben! Erst als dann nach ein paar Steuerformalitäten das Geld auf Paypal ankam, hab ich es realisiert. Das war phänomenal!

Von dem Geld hab ich mir direkt Burp Suite Pro gekauft, um mehr Möglichkeiten in Burp Suite zu haben und habe mich auf weitere Bug-Bounty-Programme gestürzt. Nur leider stellte sich heraus, dass dies ein riesiger Glückstreffer gewesen war. Ich muss noch wesentlich mehr Lernen und mehr Erfahrung sammeln, um weitere Bugs zu finden.

Das war ernüchternd, aber wäre dieser erste Glücksfall nicht gewesen, wäre Alles vielleicht ganz anders gelaufen 😉


1 Kommentar

Überblick Bug-Bounty-Artikel – Maxanit Consulting · Juli 12, 2020 um 12:40 pm

[…] Mein erstes Bounty […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.