More than sleep

Mục tiêu của năm nay là tôi sẽ viết ít nhất 1 bài mang tính kỹ thuật. Giờ chưa phải lúc, nhưng có lẽ cũng nên chuẩn bị dần đi là vừa.

Dạo khá lâu rồi khi tôi mới biết đến bug bounty, như bao người khác, tôi đọc từng report trên hackerone một, không sót cái nào. Bug bounty có một cái rất thú vị, bạn đọc cả ngàn report, cái nào cũng hay cả, nhưng đến lúc bắt chước thì không bao giờ thành công. Kiểu như lỗi nó đi đâu hết rồi ấy. Xong vài hôm nữa bạn lại thấy một bug mới được disclosed, cứ thế, cứ thế. Lý do chắc không cần tôi phải nói ra, chỉ quanh quẩn một điều rằng tiền thì không bao giờ là dễ kiếm. Nhớ đấy và đừng nản. Vì nản thì tiền vẫn khó kiếm thế thôi.

Đợt ấy tôi rất thích các website của VN, nổi tiếng một chút và có nhiều chức năng. Tôi tự coi đó là wargame của mình, nếu thấy lỗi gì nghiêm trọng thì tôi báo cho họ biết, thi thoảng được lời cảm ơn, đôi khi được sự im lặng (seen seen seen seen). Tuy nhiên việc tự tiện pentest web của người ta cũng không quá văn minh, hãy thận trọng nếu không muốn về team ngựa vằn 

Nhân vật chính của bài viết này là một website về ăn uống (tôi không tiết lộ cụ thể vì tự dưng tôi thấy không nên làm thế). Lỗi tôi thấy là XXE. Trước giờ tôi nghe XXE nhiều nhưng chưa lần nào gặp trong thực tế, thành ra tôi cảm thấy rất vui, vì có niềm tin hơn (tưởng tượng nếu đây là 1 program trên hackerone chắc tôi đã có cả ngàn đô rồi ). Tôi khai thác một tẹo đủ để làm PoC, rồi bắt đầu suy nghĩ xem có nên report hay không. Tôi vẫn tốt bụng có tiếng, nhưng dư luận họ nói nhiều quá thành ra cũng bị lăn tăn, kiểu có nhan sắc không chịu kiếm tiền đi mà cứ thích lo việc bao đồng. Bạn biết không, đây là bức hình mà tôi hay lôi ra mỗi khi phân vân những chuyện như thế:

<Rất tiếc tôi đã xóa cái hình đi rồi, bạn tự tưởng tượng đi vậy>

Seen seen seen seen.

Quay trở lại lỗi XXE. Sau một đêm mơ mộng, tôi quyết định vẫn report, với lý do chính là để cảm ơn họ đã tạo ra target cho tôi thực hành. Như một trò đùa, tôi chỉ mới hỏi thông tin liên lạc, thì họ đã nói luôn “Không biết có phải bạn định báo lỗi XXE không? Hệ thống bên mình cũng vừa phát hiện có người đang khai thác lỗi này tối qua”  Thật mất hình ảnh, nhưng lỡ rồi, biết làm sao. Tôi được họ tặng (ngạc nhiên chưa) 10 mã ăn uống, mỗi cái 200k. Bạn không cần phải giỏi toán để vào đọc blog này, tôi nhân luôn hộ bạn là 200 nhân 10 bằng 2 triệu. Tất nhiên không phải số tiền lớn, vì hầu hết các chương trình trên bugcrowd đều có min là 100 USD, nhưng so sánh như thế thì khập khiễng quá. Giữa muôn vàn seen seen seen seen ở VN thì phản hồi lần này khiến tôi rất vui, chưa kể 10 cái mã đó còn là 10 mã đặc biệt. Lần đầu tôi dùng, web của họ yêu cầu tôi phải có hóa đơn ít nhất 300k mới được (tức là giống như bao mã giảm giá khác), sau đó tôi thắc mắc và một bạn tư vấn viên xinh xắn dễ thương (đoán thôi) gọi lại xin lỗi, bảo là mã này hịn quá bọn em chưa cập nhật, từ giờ trở đi không min miếc gì cả, anh cứ đặt thoải mái, 1 nghìn bọn em cũng ok. Nếu họ đưa tiền trực tiếp chắc tôi cũng không có mấy kỷ niệm, tiền đến rồi tiền đi, tiền sẽ chẳng còn chi, bao lời yêu vỡ tan khi mà anh êm ấm bên ai blah blah, nhưng bắt tôi phải tiêu tiền thì quả thật họ đã vô cùng sâu sắc.

Vài tuần sau. Đúng, vài tuần sau. Đừng nhắc về số tiền 2 triệu kia nữa, đã là quá khứ rồi. Tôi tìm thấy một lỗi XXE trong một chương trình bug bounty của nước ngoài. Tất nhiên lỗi này không tường minh mấy, vì nếu thế sao đến lượt tôi. Từ một chuỗi rất loằng ngoằng, không có vẻ gì là XML cả, nhưng với sự thôi thúc của đồng tiền, tôi vẫn nhìn xuyên qua hàng chục lớp mã hóa để đọc ra plaintext. Niềm tin là một điều gì đó rất quan trọng, không có niềm tin, bạn sẽ không muốn làm gì cả. Chỉ lãng phí thời gian. Yêu nhau làm gì khi biết rằng sớm muộn người ta cũng bỏ mình để đi theo thằng khác. Học làm gì khi biết rằng ra trường cũng chẳng kiếm được một công việc ra hồn.

Khởi đầu là min bounty, kết thúc là max bounty. Thật là happy ending, đúng không?

Không cái mông ấy -_-

– Nghĩ ngợi lung tung, Dương Dung –

2 Responses

  1. honganh says:

    Anh ơi anh viết nhiều bài nữa đi ạ, anh viết có duyên nên em rất thích đọc blog của anh 😀
    Với lại tiêu đề nghĩa là gì vậy anh?

    • yeuchimse says:

      Cảm ơn em, không thấy mail báo nên anh không biết em comment, thành ra trả lời muộn.

      Tiêu đề anh sẽ giải thích nếu có dịp, nhưng nó có thể là tên một bài hát 😀

Comments are much better than likes...