5 Platform Bug Bounty Teratas untuk Organisasi untuk Meningkatkan Keamanan Aplikasi

Hanya seorang hacker yang dapat berpikir seperti seorang hacker. Jadi, ketika ingin menjadi “peretas-bukti,” Anda mungkin perlu beralih ke peretas.


Keamanan aplikasi selalu menjadi topik hangat yang semakin lama semakin panas.

Bahkan dengan gerombolan alat pertahanan dan praktik yang kami miliki (firewall, SSL, kriptografi asimetris, dll.), Tidak ada aplikasi berbasis web yang dapat mengklaim bahwa aplikasi itu aman di luar jangkauan peretas.

Mengapa demikian?

Alasan sederhana adalah bahwa membangun perangkat lunak tetap merupakan proses yang sangat kompleks dan rapuh. Masih ada bug (dikenal dan tidak diketahui) di dalam penggunaan yayasan pengembang, dan yang baru sedang dibuat dengan peluncuran perangkat lunak dan perpustakaan baru. Bahkan perusahaan teknologi papan atas siap sesekali merasa malu, dan alasan yang bagus.

Sekarang memperkerjakan . . . Peretas!

Mengingat bahwa bug dan kerentanan mungkin tidak akan pernah meninggalkan ranah perangkat lunak, di mana ia meninggalkan bisnis bergantung pada perangkat lunak ini untuk bertahan hidup? Bagaimana, misalnya, aplikasi dompet baru, memastikan bahwa itu akan melawan upaya peretas yang jahat?

Ya, Anda sudah dapat menebaknya sekarang: dengan mempekerjakan peretas untuk datang dan mencoba aplikasi yang baru dicetak ini! Dan mengapa mereka melakukannya? Hanya karena ada hadiah yang cukup besar yang ditawarkan – hadiah bug! ��

Jika kata “bounty” mengembalikan memori Wild West dan peluru ditembakkan tanpa diabaikan, itulah tepatnya ide di sini. Entah bagaimana Anda mendapatkan peretas (pakar keamanan) yang paling elit dan berpengetahuan untuk menyuarakan aplikasi Anda, dan jika mereka menemukan sesuatu, mereka mendapat imbalan.

Ada dua cara untuk melakukannya: 1) hosting sendiri hadiah bug; 2) menggunakan platform karunia bug.

Bug Bounty: Self-host vs. platform

Mengapa Anda harus bersusah payah memilih (dan membayar) platform karunia bug ketika Anda bisa meng-host-nya sendiri. Maksud saya, cukup buat halaman dengan detail yang relevan dan buat kebisingan di media sosial. Jelas tidak bisa gagal, benar?

Peretas tidak yakin!

Ya, itu ide yang rapi di sana, tetapi lihatlah dari sudut pandang peretas. Berdesak-desakan untuk bug bukanlah tugas yang mudah, karena membutuhkan beberapa tahun pelatihan, pengetahuan yang hampir tak terbatas tentang hal-hal lama dan baru, banyak tekad, dan lebih banyak kreativitas daripada yang dimiliki sebagian besar “desainer visual” (maaf, tidak bisa menolak yang itu!: -P).

Peretas tidak tahu siapa Anda atau tidak yakin Anda akan membayar. Atau mungkin, tidak termotivasi. Hadiah yang di-host-sendiri berfungsi untuk juggernaut seperti Google, Apple, Facebook, dll., Yang namanya dapat dimasukkan ke dalam portofolio mereka dengan bangga. “Menemukan kerentanan login kritis dalam aplikasi HRMS yang dikembangkan oleh XYZ Tech Systems” tidak terdengar mengesankan, sekarang, apakah itu (dengan permintaan maaf kepada perusahaan mana pun di luar sana yang mungkin menyerupai nama ini!)?

Lalu ada alasan praktis lainnya (dan alasan yang luar biasa) untuk tidak pergi solo ketika datang ke bug bug.

Kurangnya infrastruktur

“Peretas” yang kita bicarakan bukanlah mereka yang mengintai Web Gelap.

Mereka tidak punya waktu atau kesabaran untuk dunia “beradab” kita. Sebaliknya, kami berbicara di sini tentang para peneliti dari latar belakang ilmu komputer yang berada di universitas atau telah menjadi pemburu hadiah untuk waktu yang lama. Orang-orang ini ingin dan mengirimkan informasi dalam format tertentu, yang merupakan rasa sakit tersendiri untuk terbiasa.

Bahkan pengembang terbaik Anda akan berjuang untuk mengikuti, dan biaya peluang mungkin berubah menjadi terlalu tinggi.

Menyelesaikan pengiriman

Akhirnya, ada masalah pembuktian. Perangkat lunak mungkin dibangun di atas aturan sepenuhnya deterministik, tetapi kapan tepatnya persyaratan tertentu dipenuhi untuk diperdebatkan. Mari kita ambil contoh untuk memahami ini dengan lebih baik.

Misalkan Anda membuat karunia bug untuk kesalahan autentikasi dan otorisasi. Artinya, Anda mengklaim bahwa sistem Anda bebas dari risiko peniruan identitas, yang harus dirusak oleh peretas.

Sekarang, peretas telah menemukan kelemahan berdasarkan pada cara kerja peramban tertentu, yang memungkinkan mereka mencuri token sesi pengguna dan menyamar sebagai mereka..

Apakah itu temuan yang valid?

Dari sudut pandang hacker, pasti, karena pelanggaran adalah pelanggaran. Dari sudut pandang Anda, mungkin tidak, karena Anda berpikir bahwa ini termasuk dalam tanggung jawab pengguna, atau peramban itu sama sekali tidak menjadi perhatian bagi target pasar Anda.

Jika semua drama ini terjadi pada platform hadiah bug, akan ada arbiter yang mampu untuk memutuskan dampak dari penemuan dan menutup masalah.

Dengan itu, mari kita lihat beberapa platform hadiah bug populer di luar sana.

Hackerone

Di antara program karunia bug, Hackerone adalah pemimpin dalam hal mengakses peretas, menciptakan program hadiah Anda, menyebarkan berita, dan menilai kontribusi.

Ada dua cara Anda dapat menggunakan Hackerone: gunakan platform untuk mengumpulkan laporan kerentanan dan atur sendiri atau biarkan para ahli di Hackerone melakukan kerja keras (melakukan triaging). Triaging sederhana adalah proses menyusun laporan kerentanan, memverifikasi mereka, dan berkomunikasi dengan peretas.

Hackerone digunakan oleh nama-nama besar seperti Google Play, PayPal, GitHub, Starbucks, dan sejenisnya, jadi tentu saja, itu untuk mereka yang memiliki bug parah dan kantong serius. ��

Bugcrowd

Bugcrowd menawarkan beberapa solusi untuk penilaian keamanan, salah satunya adalah Bug Bounty. Ini memberikan solusi SaaS yang terintegrasi dengan mudah ke dalam siklus hidup perangkat lunak yang ada dan membuatnya mudah untuk menjalankan program karunia bug yang berhasil.

Anda dapat memilih untuk memiliki program karunia bug pribadi yang melibatkan beberapa peretas terpilih atau peretas publik yang mem-crowdsource hingga ribuan.

SafeHats

Jika Anda sebuah perusahaan dan tidak merasa nyaman untuk membuat program karunia bug Anda menjadi publik – dan pada saat yang sama membutuhkan lebih banyak perhatian daripada yang dapat ditawarkan oleh platform karunia bug yang khas – SafeHats adalah taruhan Anda yang paling aman (permainan kata yang mengerikan, ya?).

Penasihat keamanan khusus, profil peretas yang mendalam, partisipasi khusus undangan – semuanya disediakan tergantung pada kebutuhan dan kematangan model keamanan Anda.

Intigriti

Intigriti adalah platform hadiah bug komprehensif yang menghubungkan Anda dengan peretas topi putih, apakah Anda ingin menjalankan program pribadi atau program publik.

Untuk peretas, ada banyak karunia untuk meraih. Bergantung pada ukuran dan industri perusahaan, perburuan bug mulai dari € 1.000 hingga € 20.000 tersedia.

Synack

Synack tampaknya menjadi salah satu pengecualian pasar yang merusak cetakan dan akhirnya melakukan sesuatu yang masif. Program keamanan mereka Retas Pentagon adalah sorotan utama, yang mengarah pada penemuan beberapa kerentanan kritis.

Jadi jika Anda mencari tidak hanya penemuan bug tetapi juga panduan keamanan dan pelatihan di tingkat atas, Synack adalah cara untuk pergi.

Kesimpulan

Sama seperti Anda menjauh dari tabib yang menyatakan “obat ajaib,” harap menjauh dari situs web atau layanan apa pun yang mengatakan keamanan antipeluru adalah mungkin. Yang bisa kita lakukan adalah bergerak selangkah lebih dekat ke arah yang ideal. Dengan demikian, program karunia bug seharusnya tidak diharapkan untuk menghasilkan aplikasi zero-bug tetapi harus dilihat sebagai strategi penting dalam menyingkirkan yang benar-benar jahat..

Lihat ini Tentu saja berburu hadiah bug jika ingin belajar dan mendapatkan hall of fame, hadiah, penghargaan.

Saya harap Anda menghancurkan banyak bug! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map