Zdravím Vás,

jmenuji se Marek Tóth a zabývám se IT bezpečností, především se zaměřuji na hledání bezpečnostních zranitelností ve webových aplikacích. O tuto oblast se aktivněji zajímám od roku 2018. Ve svém volném čase se snažím dělat internet o trochu bezpečnějším místem a hledám webové zranitelnosti, které by mohl někdo zneužít. Nálezy následně reportuji prostřednictvím bug bounty programu nebo je zasílám přímo konkrétní společnosti.

Pracovní zkušenosti

Od března 2020 pracuji jako Penetrační tester (Etický Hacker) ve společnosti Avast

Předtím jsem pracoval na těchto pozicích:

  • 01/2019 - 02/2020 : QA Engineer, Avast
  • 03/2017 - 10/2018 : QA Engineer, Mall
  • 10/2016 - 02/2017 : SW Tester, Tipsport
  • 07/2015 - 09/2016 : Customer & Technical Support, Tipsport

Začátky v IT bezpečnosti

Oblast IT bezpečnosti mě zajímala už od dětství, v té době jsem tomu vůbec nerozuměl a byl jsem jen tzv. script kiddie. Například už na základní škole jsem našel SQL injection v přihlašovacím formuláři na stránkách školy, ale vůbec jsem neměl ponětí jak to funguje - prostě jsem zkusil něco, co jsem našel na internetu. Během práce na zákaznické podpoře jsem se snažil hledat bezpečnostní zranitelnosti, ale stále jsem narážel na neznalost v oboru. Nacházel jsem buď malé bezpečnostní nedostatky („highlightem“ mojich znalostí byl v té době Clickjacking 🙂) nebo jsem nacházel jen uživatelské chyby, což mě přivedlo k pozici testera.

Z počátku jsem věnoval pozornost nové pozici v IT, snažil jsem se hledat co nejvíce vývojářských chyb, ale stále ve mně něco hlodalo. Vadilo mi, že často mé nahlašované bugy nemají výraznější dopad na uživatele nebo na společnost. Chtělo to změnu, a na jaře 2018 jsem začal aktivněji hledat informace o security testování. Po několika měsících samostudia a zkoušení formou pokus-omyl se začaly dostavovat první zajímavější výsledky.

Od roku 2019 se o oblast bezpečnosti webových aplikací zajímám na denní bázi s tím, že v daném roce jsem začal i s bug bounty programy. Prvně se jednalo o Hacktrophy, později to byl Hackerone. Z mého pohledu jsou zkušenosti z bug bounty programů největším přínosem pro testera. Nejenom, že získá praktické zkušenosti z různých webových aplikací, ale je také nucen přemýšlet nad rizikem nalezené zranitelnosti a nad kombinací zvyšující celkový dopad... aneb no significant impact, no money 💰

Hledání zranitelností

Jak jsem již uvedl, tak mé praktické začátky byly na bug bounty platformě Hacktrophy. Ceník z jednoho bug bounty programu, se kterým jsem několik týdnů pracoval, vypadal například takto. Dodnes čerpám z této zkušenosti a stále mám zakotveno, že pokud se nejedná o zranitelnost s významným dopadem, tak to nemá cenu zapisovat.🙂 V případě mé současné pracovní pozice se toho samozřejmě držet nemohu, ale pokud se jedná o nahlašování cizím společnostem, tak se vždy snažím o co největší dopad.

U webových aplikací se momentálně zaměřuji především na hledání client-side zranitelností s tím, že mým cílem je dopad typu Account Takeover, Session Hijacking, Permanent Cookies Stealing, AuthToken Stealing, tedy cílím na zranitelnosti umožňující absolutní nebo omezenou kontrolu nad účtem. Jelikož se jedná o zranitelnosti na klientské straně, tak je nutná interakce od uživatele, a proto vždy usiluji o to, aby mým výsledkem byl maximálně odkaz bez další akce od uživatele - už otevřením odkazu chci po uživateli hodně.🙂