我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

我们生活在充满活力的经济中，该经济正在不断开发新的创收方式。Bug赏金计划使我着迷，例如BugCrowd上的Atlassian 。从这些程序中获得切实的回报并非易事。经过多年的参与，我可以证明标准已经很高。花费时间和精力来解决每个程序和涉及的应用程序范围。  

但是您要说的是，如果下限被降低，突然之间就会更容易，更快地获得回报。你会参加吗？如果我告诉您，我使用Contrast Community Edition（CE）在15分钟内赚了600美元，Contrast Community Edition（CE）是来自Contrast Security的免费且功能全面的应用程序安全平台，为Java应用程序提供始终在线的IAST，RASP和SCA ，.NET Core和API？

我如何通过对比CE获得漏洞赏金

当我开始使用Contrast Security时，我想弄清它的产品以了解它们的工作原理。我选择了Contrast CE，并将它与OWASP Webgoat项目进行了对比，因为它知道其中有很多应用程序安全漏洞。它立即产生了令人印象深刻的结果-确定了很长的漏洞。经过最初的测试之后，我决定在一个实际的应用程序上运行它，并且该应用程序已被数百万的用户使用，并且安装了Bug Bounty程序。我在Atlassian JIRA服务器中找到了理想的人选，我们也在Contrast Security内部使用了它。  

之后下载 Atlassian的JIRA服务器，我也跟着安装说明，这是非常简单的。JIRA Server启动，我启动并运行：

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

随着JIRA Server成功运行，我开始将Contrast CE连接到JIRA Server。以下是不同的步骤：

1. 我注册了一个免费帐户：https : //www.contrastsecurity.com/contrast-community-edition 。
2. 使用注册的帐户，我可以进入登录屏幕：https : //ce.contrastsecurity.com/Contrast/ 。
3. 登录到帐户后，单击“添加代理”按钮。

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

1. 然后，我需要检索我的Contrast CE实例的许可证文件并将其放在以下位置： /etc/contrast/java/contrast_security.yaml
2. 这下载了Java代理。
3. 完成这些步骤后，我继续将Contrast CE代理连接到JIRA服务器。对我而言，最好的方法是设置CATALINA_OPTS JVM环境变量。我得出结论，应该在提供的“ start-jira.sh”脚本中进行设置。我打开该文件进行编辑并添加： 出口CATALINA_OPTS =”-javaagent：/path/to/agent/contrast.jar”
4. 运行JIRA Server应用程序后，我检查了Contrast CE以验证连接。

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

1. 然后，我在Contrast CE中单击JIRA Server Web应用程序，它显示了第一个漏洞，并显示以下消息：

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

1. 在主要漏洞页面上，我可以很快看到URL的易受攻击部分，最终以一个受污染的接收器结尾： 下载/contextbatch/js/atl.dashboard,jira.global,atl.general,-_super/batch.js 
2. 将这些信息作为背景，我单击了“ HTTP信息”选项卡和“重播请求”。知道了请求的漏洞部分之后，我开始想办法加以利用。

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

1. 我的第一个动作是用/WEB-INF/web.xml替换URL的易受攻击的部分，尽管请求失败，但知道它仍然存在。然后，我执行了类似于/../../../../../../etc/passwd的典型目录遍历攻击，该攻击也失败了。一个潜在的结论是存在误报。
2. 为了确定上述请求失败的原因，我单击了“详细信息”选项卡，并显示了以下应用程序流程：

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

1. 这揭示了一种潜在的验证器模式，这促使我扩展了揭示以下内容的视图：

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

1. JIRA服务器使对WEB-INF的请求无效。
2. 这促使我考虑可以访问的其他应用程序领域，这使我进入了META-INF。因此，按照以下方式执行了一个请求： http：// localhost：8080 / s / b1fee0a256584291c94c59cf5d11a26a-CDN / -hpjday / 800007 / 6411e0087192541a09d88223fb51a6a0 / 3cebffe675df202df498f33f796ac55b / _ / META-INF / maven / com.atlassian.com。
3. 这产生了以下结果：

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

1. 这暴露了该漏洞，因为不应访问META-INF目录。您好，漏洞赏金！
2. 持有此确认书后，我将问题提交给BugCrowd，并在一周后获得了600美元的奖励-所有这些都通过使用Contrast CE进行测试。在以下每个版本中，此问题已通过https://jira.atlassian.com/browse/JRASERVER-68942修复：

一个CVE也被发布了针对该漏洞。

以上最令人印象深刻的结果之一是，我花了大约15分钟才能完成这些任务。对于希望通过bug赏金计划使用免费工具赚取额外收入的人来说，这是一个巨大的价值主张。立即下载Contrast CE的免费副本，以立即开始使用。