안녕하세요, 저는 오픈 소스 프로젝트에서 하나의 취약점으로 인해 포상금으로 $10,890를 벌었던 방법을 소개하고 싶습니다. 한 달 전에 저는 ML Framework의 버그를 보고했습니다. 실제로 제가 발견한 버그는 심각도가 높지 않았기 때문에 심각도를 낮은 수준에서 높은 수준으로 높일 수 있는 방법을 찾아야 했습니다. 우선 제가 발견한 버그는 XSS였습니다. 대부분의 사람들은 이것이 심각한 취약점이 아니라는 것을 알고 있지만 저를 포함한 많은 사람들은 XSS와 같은 심각도가 낮은 버그를 이용해 심각도가 높은 시나리오로 악용하는 방법을 알고 있습니다.
- Account Takeover
- CSRF
- SSRF
우선, 일부 연구자가 XSS를 발견한 경우 ATO, CSRF, SSRF로 악용할 수 있습니다. 실제로 위와 같이 익스플로잇에 성공하더라도 대상이 구글, 페이스북, 애플, 쇼피파이 같은 대기업이 아니라면 큰 보상을 받을 가능성은 거의 없습니다. 대체적으로 Client Side 취약점들의 기본 포상금이 높지가 않습니다. 그러나 대상이 web3.0 또는 ML/AI와 연동되어 상호 작용 되는 경우에는 매우 다릅니다.
현 시대의 웹 생태계에서는 웹 서비스에 web3.0(Smart Contract와 같은 기술) 또는 ML/AI와 같은 기술들을 연동해서 많이 사용하고 있습니다. web3.0은 암호 화폐, NFT 거래소 등, ML/AI에서는 대표적으로 대화형(AI)인 ChatGPT, Bing AI Chatbot 등이 있습니다. 이러한 서비스에서 SQL Injection, XSS와 같은 취약점을 찾을 경우에는 단순한 웹 서비스에서 찾은 것과는 다르게 더 많은 포상금을 지급 받으실 수 있습니다.
또한 실제로 많은 암호 화폐 거래소에서 버그 바운티를 진행하고 있으며, 포상금 또한 일반적인 웹 서비스와는 다르게 많은 것을 확인하실 수 있고, 많은 연구자들이 이미 web3.0의 웹 서비스에서 버그 바운티를 진행하고 있습니다. 그러나 반대로 ML/AI에서 버그 바운티를 하는 사람들은 많이 보지 못 했습니다. 이 ML/AI 버그 바운티도 web3.0과 동일하게 SQL Injection, XSS와 같은 취약점을 찾더라도 일반적인 웹 서비스와 다르게 큰 포상금을 획득할 수 있습니다.
저는 ML 관련 웹 서비스에서 XSS 취약점을 발견했지만 파급력이 없었기 때문에 단순히 이를 제보하는 것만으로는 바운티를 획득할 수 없었습니다. 그러나 이 ML 관련 웹 서비스의 서버에는 ML 모델 데이터가 저장되어 있습니다. 저는 이 XSS 취약점을 LFI 취약점으로 연계하여 ML 모델 데이터를 읽어 와서 개인 서버로 탈취하는 시나리오를 구상했고, 3시간 만에 연계에 성공하여 이 취약점에 대해서 플랫폼을 통해 제보를 했습니다. ML/AI에서는 모델 데이터가 매우 중요한 데이터이므로 이러한 모델 데이터를 탈취하는 것만으로도 큰 포상금을 획득할 수 있습니다. 여러분들도 일반적인 웹 서비스뿐만 아니라 이러한 서비스에서도 버그 바운티를 참여해 보시는 것을 추천드립니다. 감사합니다.
XSS보다 좋은 공격 가젯이 또 있을까요?