ذكاء نقاط الضعف

إطلاق العنان للإمكانات الكاملة لبرامج Bug Bounty مع BeVigil: تبسيط سير عمل الباحثين الأمنيين

يمكن لـ BeVigil تبسيط وتحسين سير عمل باحثي مكافآت الأخطاء بشكل كبير. باستخدام نهج BeVigil المبتكر، يمكن للباحثين الاستفادة من سير العمل المباشر الذي يتطلب خطوات أقل لتحديد نقاط الضعف وكسب المكافآت.

دقيقة

جدول المحتوى

مثال H2

‍

الهدف من هذه المدونة هو توفير ما يلي:

استكشاف متعمق لكيفية كن فيجيل، أول محرك بحث أمني في العالم لتطبيقات الأجهزة المحمولة، يمكنه تبسيط وتحسين سير عمل Bug Bounty Hunters وباحثي أمن تطبيقات Android وعشاق OSINT بشكل كبير.
مع BeVigil، يمكن للباحثين الأمنيين الاستفادة من الفهرسة الشاملة لملايين تطبيقات Android، مما يمكنهم من تحديد الثغرات الأمنية والأسرار وواجهات برمجة التطبيقات المكشوفة وغير ذلك الكثير بسرعة وكفاءة، واكتساب الرؤية على سطح هجوم ضخم ولكن لم يتم استكشافه إلى حد كبير.
تعمل BeVigil OSINT API و CLI الغنية بالوظائف على تبسيط عملية تحديد الثغرات الأمنية وتوفر منصة موثوقة وفعالة وشاملة للباحثين الأمنيين لأتمتة عمليات سير العمل وإثرائها وتحسينها. يمكن أن يساعد ذلك الباحثين على اتخاذ قرارات مستنيرة أكثر من التشغيل الأعمى للأدوات الآلية للعثور على نقاط الضعف.

‍

سير العمل العام لباحثي Bug Bounty

لفهم عملية الباحث عن مكافأة الأخطاء بشكل أفضل، دعونا نتوقف لحظة لاستكشاف سير العمل العام.

‍

في حين أن هذه العملية قد تناسب بعض الباحثين، إلا أنها قد تكون غير فعالة وتستغرق وقتًا طويلاً. يتطلب هذا النهج تدريبًا مكثفًا لتحديد حتى نقاط الضعف الأساسية وغالبًا ما يفشل في الكشف عن الأخطاء عالية التأثير التي يمكن أن تؤدي إلى مكافآت كبيرة. على هذا النحو، يعد سير العمل الأكثر بساطة وكفاءة ضروريًا لتحقيق أقصى قدر من المكافآت المحتملة لبرامج مكافآت الأخطاء.

‍

نهج BeVigil المبسط للباحثين في برنامج Bug Bounty

الآن، دعونا نلقي نظرة فاحصة على كيف يمكن لـ BeVigil تبسيط وتحسين سير عمل باحثي مكافآت الأخطاء بشكل كبير. باستخدام نهج BeVigil المبتكر، يمكن للباحثين الاستفادة من سير العمل المباشر الذي يتطلب خطوات أقل لتحديد نقاط الضعف وكسب المكافآت.

‍

‍

بعض الميزات التي تقدمها BeVigil والفوائد التي يمكن أن تقدمها للباحثين:

باستخدام BeVigil، يمكن للباحثين البحث بسهولة في ملايين التطبيقات المفهرسة أو مسح التطبيقات على الفور باستخدام رابط Play Store. يمكن للباحثين أيضًا تحميل تطبيق يدويًا للتحليل.
يوفر BeVigil فحوصات فورية لنقاط التطبيق، مما يسمح للباحثين بتقييم أمان التطبيق بسرعة وتحديد نقاط الضعف المحتملة.
يمكن للباحثين الاستفادة من قدرات BeVigil المتقدمة لتحديد الثغرات الأمنية وأكثر من 250 سرًا من أسرار API المكشوفة في التطبيقات.
يوفر BeVigil أيضًا القدرة على إنشاء تقارير أمنية مفصلة مع رؤى شاملة حول الوضع الأمني للتطبيق.

‍

دليل خطوة بخطوة لاكتشاف الأخطاء باستخدام كن فيجيل

الخطوة 1. دعونا نعمل من خلال إحدى منصات مكافآت الأخطاء الرائدة المعروفة باسم HackerOne ولكن العملية الشاملة ستبقى كما هي. هناك العديد من الشركات التي لديها تطبيقات Android مدرجة على HackerOne. كما ترى عندما اخترنا الخيارات أندرويد: بلاي ستور أو أندرويد: .apk، تظهر العديد من التطبيقات من شركات مختلفة في قائمة البحث. نحن نختار»حضري«كمثال.

*تم إدراج تطبيق Android الخاص بالشركة الحضرية على HackerOne*

‍

الخطوة 2. بعد ذلك، انتقل إلى كن فيجيل وابحث عن التطبيقات التي تريد البحث عنها. على سبيل المثال، بحثنا عن «Urban Company» لأنها تحتوي على برنامج مكافآت الأخطاء النشط الذي رأيناه أعلاه.

‍

الخطوة 3. في هذه الصفحة، يمكنك العثور على درجة الأمان الإجمالية التي ستسلط الضوء على مدى ضعف التطبيق، وقائمة المفاتيح السرية المكشوفة، وبعض الأقسام المختلفة الأخرى لأنواع المشكلات المختلفة على يسار الصفحة. بصفتك باحثًا أمنيًا، قد تكون مهتمًا أكثر بالنظر في أقسام «الثغرات الأمنية» و «السلاسل» والأصول» لأنها غالبًا ما تحتوي على معلومات مثيرة.

‍

ال نقاط الضعف يوفر القسم في BeVigil نظرة عامة شاملة على الأنواع المختلفة من الثغرات الأمنية المكتشفة. بصفتك باحثًا، يمكنك بسهولة استكشاف كل ثغرة بعمق وتحديد آثارها المحتملة.

‍

ال سلاسل يوفر القسم في BeVigil قائمة بجميع الأسرار المثيرة للاهتمام ومفاتيح API مثل (أسرار AWS ومفاتيح Shopify ومفاتيح GitHub ومفاتيح Facebook وما إلى ذلك) والرموز المميزة مثل JWT وما إلى ذلك بعد جمع هذه الأسرار، يمكنك العثور على تأثيرات أمنية.

‍

ال الأصول يعرض القسم عناوين IP المكشوفة ومسارات الملفات وأسماء المضيفين وتفاصيل نقطة النهاية الأخرى المثيرة للاهتمام.

*أقسام مختلفة تعرض أنواع المشكلات المختلفة على التطبيق*

‍

الخطوة 4. بعد اكتشاف مشكلة ما، يجب أن نحاول تسلسلها للعثور على المزيد من المشكلات المؤثرة والإبلاغ عنها إلى المنظمات المناسبة. على سبيل المثال، إذا صادفنا عنوان URL لـ Firebase، فيجب أن نتعمق أكثر لتحديد ما إذا كان يمكن الوصول إليه للقراءة أو الكتابة. علاوة على ذلك، يجب أن نفحص ما إذا كانت تكشف عن بيانات سرية مثل تفاصيل العميل أو الدفع. من خلال اتباع هذا النهج الشامل، يمكننا إنشاء تقرير أكثر تأثيرًا وربما كسب مكافأة أعلى مقابل جهودنا.

*التحقق من عنوان URL لـ Firebase للحصول على معلومات حساسة*

‍

مناهج مختلفة لباحثي Bug Bounty

1. استخدام عنوان URL الخاص بـ Firebase للكشف عن معلومات تحديد الهوية الشخصية: Firebase عبارة عن مجموعة من خدمات الاستضافة لأي نوع من التطبيقات. يوفر NoSQL واستضافة قواعد البيانات في الوقت الفعلي. من خلال إلحاق /.json بعنوان URL الخاص بـ Firebase، يمكنك بسهولة تحديد ما إذا كانت قاعدة بيانات Firebase عرضة لعمليات القراءة/الكتابة أم كليهما.

وفقًا لبحثنا الأخير، حددت BeVigil أكثر من 20,000 عنوان URL لـ Firebase مع وصول للقراءة إلى قاعدة بيانات Firebase والتي يحتوي معظمها على معلومات حساسة.

*تم تحديد عنوان URL المكشوف لـ Firebase بواسطة BeVigil*

‍

‍

2. تسرب مفتاح واجهة برمجة تطبيقات Shopify: Shopify، منصة التجارة الإلكترونية للمتاجر عبر الإنترنت، توفر عدة أنواع من الرموز التي يمكن استخدامها للتطوير. في أحدث تقرير لدينا، تم تحديد 21 تطبيقًا يحتوي على 22 مفتاح/رمزًا ثابتًا لـ Shopify API، مما يعرض معلومات التعريف الشخصية (PII) لـ 4 ملايين مستخدم/عميل لتهديدات محتملة.

في هذا المثال، حددت BeVigil علامة تجارية هندية معروفة للتجارة الإلكترونية تعرض مفاتيح Shopify بأذونات حساسة.

‍

*تم استرداد نطاقات الوصول بناءً على رمز الوصول*

‍

كشف متجر التجارة الإلكترونية عن معلومات التعريف الشخصية (PII) مثل الاسم والبريد الإلكتروني والمجال والعنوان والهاتف لأكثر من مليون عميل.

‍

‍

اقرأ المزيد حول هذه المشكلة في هذا التقرير: https://bevigil.com/blog/bevigil-exposes-mobile-app-danger-over-4-million-users-globally-at-risk-from-hardcoded-shopify-tokens/

3. عناوين URL الخاصة بأمازون S3: Amazon S3 هي خدمة تخزين الكائنات التي تخزن البيانات ككائنات داخل المجموعات. ومع ذلك، خلال دراسة بحثية حديثة، اكتشف أحد باحثينا أن عنوان URL الخاص بـ Amazon S3 تم ترميزه بشكل ثابت في الكود المصدري لتطبيق الهاتف المحمول. ونتيجة لذلك، كان عنوان URL هذا قابلاً للقراءة بسهولة، مما أدى إلى عرض بيانات العملاء الحساسة.

*قائمة الملفات والأدلة لمجموعة Amazon S3 التي تم تكوينها بشكل خاطئ*

‍

اقرأ المزيد حول هذه المشكلة في هذا التقرير:: تؤثر تطبيقات الأجهزة المحمولة التي تعرض مفاتيح AWS على بيانات أكثر من 100 مليون مستخدم

4. عنوان URL لتطبيق هيروكو: باستخدام BeVigil، وجد باحثونا عناوين URL لتطبيق Heroku في الكود المصدري لتطبيقات الهاتف المحمول مما قد يؤدي إلى الاستحواذ على النطاق الفرعي.

يبدو أن النطاق لم يعد يعمل، لذا فهو متاح الآن لأي شخص لتولي المسؤولية. في الواقع، تمكن باحثونا من الاستيلاء بنجاح على النطاق الفرعي المعني.

‍

5. رمز الوصول الشخصي لـ GitHub: رمز الوصول الشخصي لـ GitHub (PAT) هو نوع من رمز المصادقة الذي يسمح للمستخدمين بالوصول إلى حساب GitHub الخاص بهم وتنفيذ إجراءات مختلفة برمجيًا عبر GitHub API. يقوم مطورو البرامج بترميز رموز الوصول الشخصية لـ GitHub والتي من المحتمل أن تعرض المستودعات الخاصة على GitHub.

تمكن باحثونا من التحقق من نطاقات الرمز المميز مما دفعنا إلى الاعتقاد بأن أي شخص لديه حق الوصول إلى PAT يمكنه الوصول إلى أي مستودع خاص داخل المنظمة.

*الوصول إلى المستودعات الخاصة باستخدام PAT*

‍

*تشير الأذونات إلى أنواع مختلفة من الوصول المقدمة إلى PAT*

‍

اقرأ المزيد حول هذه المشكلة في هذا التقرير:: تعمل رموز الوصول الشخصي المشفرة من GitHub على تسريب 159 مستودعًا خاصًا

‍

6. مفاتيح واجهة برمجة تطبيقات تويتر: باستخدام BeVigil، اكتشف باحثونا أن الكود المصدري لبعض تطبيقات الهاتف المحمول يحتوي على مفاتيح Twitter API مشفرة. من المحتمل أن يؤدي ذلك إلى الاستحواذ على حساب Twitter، حيث يمكن استغلال مفاتيح API هذه للحصول على وصول غير مصرح به إلى حساب Twitter الخاص بالمستخدم.

*أدى التعرض لمفاتيح Twitter API إلى الاستحواذ على حساب Twitter*

‍

*حساب مخترق يُستخدم لإنشاء التغريدات وإعادة التغريد ومتابعة الحسابات الأخرى*

‍

اقرأ المزيد حول هذه المشكلة في هذا التقرير: https://cloudsek.com/whitepapers-reports/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army

‍

7. مفتاح وصول AWS والمفتاح السري: يُعد مفتاح وصول AWS والمفتاح السري من المكونات الأساسية للبنية التحتية للمؤسسة. يمكن لأي شخص يمكنه الوصول إلى هذه المفاتيح الوصول إلى البنية التحتية للشركة بأكملها.

خلال التحقيق الذي أجريناه على BeVigil، اكتشفنا أن مفاتيح AWS هذه يمكنها الوصول إلى خدمات AWS المتعددة، بما في ذلك ACM (مدير الشهادات) وElasticBeanStalk وKinesis وOpsWorks وS3. كان تركيزنا على S3، وبعد إجراء مزيد من التحليل، وجدنا أن بيانات اعتماد AWS لديها حق الوصول للقراءة/الكتابة إلى ما مجموعه 88 حاوية S3.

‍

كانت الآثار المترتبة على هذا التعرض كبيرة، حيث احتوت هذه الحاويات الـ 88 على 10073.444 ملفًا مذهلاً، أي ما مجموعه 5.5 تيرابايت من البيانات التي تم الكشف عنها.

*يؤدي التعرض لدلو Amazon S3 إلى تسريب معلومات حساسة*

‍

تم نشر مجموعات S3 هذه مبدئيًا لاستضافة العديد من الملفات والبيانات التي تم إنشاؤها من المشاريع. بعد إجراء مزيد من التحقيق، اكتشف فريقنا أن هذه المجموعات تحتوي على مجموعة واسعة من البيانات الحساسة، بما في ذلك شفرة مصدر التطبيق، وملفات النسخ الاحتياطي، وتقارير المستخدم، وأدوات الاختبار، وتحميلات المستخدم، والسجلات، والنسخ الاحتياطية لـ WordPress، وشهادات المستخدم، وملفات التكوين، وملفات الاعتماد، والمزيد.

يمكن أن يكون للكشف عن مثل هذه البيانات آثار خطيرة، حيث يمكن أن يوفر للمهاجمين إمكانية الوصول إلى بيانات اعتماد إضافية مثل أسماء مضيفي قاعدة البيانات وكلمات المرور والرموز، مما يسمح لهم بالتفرع إلى البنية التحتية قيد التشغيل وتنفيذ المزيد من الهجمات.

تمكن الباحثون أيضًا من الوصول إلى قاعدة البيانات باستخدام كلمة مرور النص العادي المذكورة في ملف تكوين قاعدة البيانات.

*تم الكشف عن البيانات الحساسة في قاعدة البيانات*

‍

اقرأ المزيد حول هذه المشكلة في هذا التقرير: تؤثر تطبيقات الأجهزة المحمولة التي تعرض مفاتيح AWS على بيانات أكثر من 100 مليون مستخدم

‍

8. سلاك ويب هوك: يمكن لصائدي مكافآت الأخطاء البحث عن Slack webhooks التي يمكن أن تجعل أي ممثل تهديد يرسل رسائل ضارة إلى الخطافات المكتشفة، وينشئ تطبيق Slack، ويسمح بالتثبيت العام للتطبيق.

*أوامر توضح كيف يمكن للجهات الفاعلة في مجال التهديد استغلالها لإرسال رسائل Sack باستخدام webhook*

‍

9. اكتشاف مفتاح Algolia API المشفر: تتيح واجهة برمجة تطبيقات Algolia للمطورين تنفيذ البحث والاكتشاف والتوصيات داخل مواقع الويب وتطبيقات الهاتف المحمول والصوت. يمكن أن يؤدي سوء استخدام المفاتيح إلى قراءة وتعديل المعلومات الشخصية للمستخدم والوصول إلى عناوين IP والتفاصيل الحساسة الأخرى. يتم استخدامه من قبل أكثر من 11000 شركة. اكتشف باحثو CloudSek 32 من أصل 1550 تطبيقًا يحتوي على إجمالي 57 مفتاحًا فريدًا لواجهة برمجة التطبيقات.

*يمكن استخدام مفتاح البحث فقط لاستعلامات البحث وإرسال البيانات إلى Insights API*

‍

‍

اقرأ المزيد حول هذه المشكلة في هذا التقرير: يمكن استغلال مفاتيح Algolia API المشفرة من قبل الجهات الفاعلة في مجال التهديد لسرقة ملايين بيانات المستخدمين

10. خدمة البريد الإلكتروني المشفرة: في تقرير حديث آخر، اكتشف باحثونا أن 50٪ من التطبيقات التي تم تحليلها (600)، وسربت مفاتيح API لثلاثة مزودي خدمة البريد الإلكتروني للمعاملات والتسويق المشهورين - Mailgun و MailChimp و Sendgrid. يمكنهم قراءة رسائل البريد الإلكتروني وإرسالها وحذفها والحصول على عناوين IP وما إلى ذلك.

*لقطة شاشة للبريد الإلكتروني المستلم من مفتاح MailGun API*

‍

اقرأ المزيد حول هذه المشكلة في هذا التقرير: https://cloudsek.com/whitepapers-reports/hardcoded-api-keys-of-email-marketing-services-puts-54m-mobile-app-users-at-risk

‍

دليل خطوة بخطوة لواجهة برمجة تطبيقات BeVigil OSINT

‍

كما هو مذكور في المقدمة، تقدم BeVigil عرضًا شاملاً أداة BeVigil OSINT لـ CLI، مجهزة بميزات متقدمة تبسط عملية تحديد الثغرات الأمنية. تعمل هذه المنصة الغنية بالوظائف على تمكين المستخدمين من أتمتة سير العمل وتحسينها، مما يجعل تحديد نقاط الضعف أكثر كفاءة وفعالية. يمنحك الحساب المجاني 50 رصيدًا لتجربة المنتج دون إنفاق عشرة سنتات.

‍

قائمة بالأوامر التي يمكنك تنفيذها باستخدام CLI.

Command	Description
hosts	Request hosts present in an android package
packages	Request packages associated with a domain/subdomain
params	Request params associated with an android package
s3	Request S3 buckets associated with a package or a keyword
subdomains	Request subdomains associated with a domain
urls	Request URLs associated with a domain
wordlist	Request a wordlist for a package

للبدء، كل ما عليك القيام به هو تثبيت مكتبة Python من موقعنا مستودع جيت هاب وقم بتنشيطه باستخدام مفتاح API الموجود على حساب BeVigil الخاص بك. إنها عملية سريعة وسهلة تسمح لك بالبدء في استخدام مجموعة كاملة من الميزات التي تقدمها BeVigil.

‍

جرافات S3

للبدء، دعنا نستعلم عن حاويات S3 باستخدام اسم حزمة شركة Urban. يمكن جمع اسم الحزمة من BeVigil أو متجر Play.

*قائمة مجموعات S3 المرتبطة بحزمة Android*

‍

الآن كباحث، تحتاج فقط إلى العثور على مجموعات S3 التي تم تكوينها بشكل خاطئ وجمع ما هو متاح في المجموعات. قد تبحث عن معلومات حساسة مثل معلومات تحديد الهوية الشخصية للعميل أو العميل أو تفاصيل الدفع.

‍

قائمة المضيفين

لطلب جميع أسماء المضيفين المستخرجة من حزمة android، يمكنك استخدام الأمر التالي:

‍

بمجرد الحصول على قائمة بالمضيفين، يمكنك البدء في استكشاف المجالات الداخلية أو واجهات برمجة التطبيقات لتحديد الثغرات الأمنية المحتملة. من خلال تجميع نقاط الضعف المتعددة معًا، يمكنك تعظيم تأثير النتائج وحماية نظامك بشكل أفضل.

واجهة برمجة تطبيقات BeVigil OSINT

‍

يمكنك الآن دمج واجهة برمجة تطبيقات OSINT الخاصة بـ BeVigil في تطبيقك باتباع دليلنا سهل الإعداد. يمكنك أيضًا استكشاف واجهة برمجة تطبيقات BeVigil على https://osint.bevigil.com/.

‍

ملخص

‍

في منشور المدونة هذا، اكتشفنا كيف يمكن لـ BeVigil تعزيز قدرات الباحثين الأمنيين بشكل كبير، مما يسمح لهم بتحديد نقاط الضعف المحتملة وتحسين الأمان العام لتطبيقات الهاتف المحمول. مع المجموعة الواسعة من الميزات المتوفرة في BeVigil، يتمتع الباحثون بفرص غير محدودة لتحسين أبحاثهم والكشف عن المشكلات الأمنية الحرجة.

‍