BSides キャンベラのハッキングデュオ、Shubham Shah 氏と Nathaniel Wakelam 氏は、バグ報奨金プログラムから大金を稼ぐのに役立った 2 つのツールを公開します。
ネイサン・ウェイクラム(左)とシュバム・シャー。画像: ダレン・パウリ
AltDNS と Assetnote というツールは、ハッカーがサブドメインとホストを自動的に識別し、脆弱である可能性のある新しいドメインが公開された瞬間に携帯電話のプッシュ通知を生成するのに役立ちます。
本日、キャンベラで行われたBsidesハッキング会議で講演したShah氏とWakelam氏は、独自のツールがバグバウンティハンターの攻撃対象領域を拡大し、バグをより早く報告するのに役立つと述べた。
「これらは私たちが一緒に作成し、バグ報奨金プログラムに特化して使用したツールです」とシャー氏は言う。
「彼らは、あなたが先手を打って攻撃対象領域を増やし、最初にバグを報告するのに役立ちます。」
AltDNSのデモでは、DNSレコードによく見られる900個のサブドメインと130個の単語を入力すると、約530万個の潜在的なサブドメインが生成され、そのうち1400個が本物でした。
「攻撃対象領域はほぼ倍増しました」とシャー氏は言う。
まもなく GitHub に公開される Assetnote では、ハッカーがドメインを送信することができ、そのドメインは毎日自動的に監視され、新しいサブドメインが公開されるとプッシュ通知を受け取ることができます。
シャー氏は、このツールによってハッカーは待機状態になり、他のバグ報奨金制度に比べて決定的な優位性が得られるだろうと述べている。
「自分のものを隠すために無名さに頼っていたら、絶対に負けてしまう」とウェイクラム氏は言う。
「バグバウンティは必ずしも難しいものではありません。中には簡単なものもあるので、時間を割くだけで十分です。」®
