Top 5 platformi za Bounty organizacije za poboljšanje sigurnosti aplikacija

Samo haker može razmišljati poput hakera. Dakle, kad postanete “hakerski otporni”, možda ćete se morati obratiti hakeru.


Sigurnost aplikacija uvijek je bila vruća tema koja se vremenom samo postaje vruća.

Čak i s nizom odbrambenih alata i praksom koja nam stoji na raspolaganju (vatrozidi, SSL, asimetrična kriptografija itd.), Nijedna internetska aplikacija ne može tvrditi da je sigurna izvan dosega hakera.

Zašto je to?

Jednostavan razlog je taj što je izrada softvera i dalje vrlo složen i krhki proces. I dalje postoje greške (poznate i nepoznate) unutar razvojnih programera zaklade, a novi se stvaraju pokretanjem novog softvera i knjižnica. Čak su i vrhunske tehnološke tvrtke spremne na povremene neugodnosti i dobar razlog.

Zapošljavamo . , , hakeri!

S obzirom da greške i ranjivosti vjerojatno nikad neće napustiti softversko područje, gdje to ostavlja tvrtke ovisnima o ovom softveru za svoj opstanak? Kako se, primjerice, nova aplikacija za novčanik može uvjeriti da će se suprotstaviti gadnim pokušajima hakera?

Da, pogodili ste to do sada: angažiranjem hakera da dođu i provaliju ovu novoizgrađenu aplikaciju! A zašto bi? Samo zato što postoji dovoljno velika ponuda: bug! ��

Ako riječ “nagrada” vraća sjećanja na Divlji zapad i ispaljene metke bez napuštanja, to je točno ideja ovdje. Nekako najelitnije najelitnije hakere (sigurnosne stručnjake) iznenadite svoju aplikaciju i ako nešto pronađu, bit će nagrađeni.

Postoje dva načina da se to riješi: 1) samostalno ugošćivanje šteta; 2) pomoću bug bounty platforme.

Bug Bounty: Self-host vs platformi

Zašto biste se upustili u odabir (i plaćanje) platforme za obradu grešaka kada je jednostavno možete samostalno ugostiti. Mislim, samo stvorite stranicu s relevantnim detaljima i napravite neku buku na društvenim medijima. Očito ne može uspjeti, zar ne?

Haker nije uvjeren!

Pa, to je tamo uredna ideja, ali gledaj na to iz perspektive hakera. Joštanje za bugove nije lak zadatak, jer zahtijeva nekoliko godina treninga, gotovo neograničeno znanje o stvarima starim i novim, tona odlučnosti i više kreativnosti nego što većina “vizualnih dizajnera” ima (oprostite, nisam mogla odoljeti tome! -P).

Haker ne zna tko ste ili nije siguran hoćete li platiti. Ili možda, nije motiviran. Vlasnici koji se nalaze u domaćinstvu rade za žonglere poput Googlea, Applea, Facebooka itd., Čija imena ljudi s ponosom mogu staviti u svoj portfelj. “Pronađena je kritična ranjivost za prijavu u HRMS aplikaciji koju je razvio XYZ Tech Systems”, sada ne zvuči impresivno, zar ne (s dužnim isprikama bilo koje tvrtke vani koja bi mogla nalikovati ovom imenu!)?

Zatim postoje drugi praktični (i neodoljivi razlozi) za to što ne idete solo kada je u pitanju bunt obilja.

Nedostatak infrastrukture

“Hakeri” o kojima smo razgovarali nisu oni koji zatiču u Mračnom webu.

Oni nemaju vremena ni strpljenja za naš “civilizirani” svijet. Umjesto toga, ovdje govorimo o istraživačima podrijetla iz informatike koji su ili na sveučilištu ili su dugo vremena bili lovci na uloge. Ovi ljudi žele i šalju informacije u određenom formatu, što je samo po sebi bol na što se navikavaju.

Čak će se i vaši najbolji programeri boriti da ostanu u tijeku, a oportunitetni trošak može se pokazati previsokim.

Rješavanje podnesaka

Napokon, postoji pitanje dokaza. Softver se može temeljiti na potpuno determiniranim pravilima, ali točno kada se ispunjava određeni zahtjev, pred raspravama je. Uzmimo primjer da bismo to bolje razumjeli.

Pretpostavimo da ste stvorili program za napake zbog pogrešaka autentifikacije i autorizacije. Odnosno, tvrdite da je vaš sustav oslobođen rizika lažnog predstavljanja, koji hakeri moraju potkopati.

Sada je haker utvrdio slabost koja se temelji na načinu funkcioniranja određenog preglednika, što im omogućava da ukradu korisnikovu seansku oznaku i lažno se utječu na njih..

Je li to valjan nalaz?

Iz perspektive hakera, definitivno je kršenje prekršaj. Iz vaše perspektive, možda i ne, jer ili mislite da to spada u domenu odgovornosti korisnika, ili taj preglednik jednostavno ne predstavlja brigu za vaše ciljno tržište.

Da se sva ova drama odvijala na platformi za bugove obračuna, mogli bi biti sposobni arbitri koji će odlučiti o utjecaju otkrića i zatvoriti to pitanje.

Uz spomenuto, pogledajmo neke od popularnih platformi za obradu grešaka.

Hackerone

Među programima za stvaranje bugova, Hackerone lider je kada je riječ o pristupu hakerima, stvaranju programa za bounty, širenju riječi i procjeni doprinosa.

Postoje dva načina na koja možete koristiti Hackerone: platformu prikupljati izvještaje o ranjivosti i sami ih raditi ili pustiti stručnjake iz Hackerone-a da naporno rade (triaging). Jednostavno rješavanje procesa je sastavljanje izvještaja o ranjivosti, provjera istih i komunikacija s hakerima.

Hackerone koriste velika imena kao što su Google Play, PayPal, GitHub, Starbucks i slično, tako da je naravno za one koji imaju ozbiljne pogreške i ozbiljne džepove. ��

Bugcrowd

Bugcrowd nudi nekoliko rješenja za procjenu sigurnosti, od kojih je jedno Bug Bounty. Pruža SaaS rješenje koje se lako integrira u vaš postojeći životni ciklus softvera i čini brzo pokretanje uspješnog programa za stvaranje bugova.

Možete odabrati privatni program za prikupljanje grešaka koji uključuje nekolicinu hakera ili javni koji sadrži stotine tisuća.

SafeHats

Ako ste poduzeće i ne osjećate se ugodno objavljivanjem svog programa za bug javnosti – i istovremeno vam je potrebno više pozornosti nego što to može ponuditi tipična programska podrška za bug – SafeHats je vaša najsigurnija opklada (užasna kazna, ha?).

Namjenski sigurnosni savjetnik, detaljni hakerski profili, sudjelovanje samo u pozivima – sve je to ovisno o vašim potrebama i zrelosti vašeg sigurnosnog modela.

Intigriti

Intigriti je sveobuhvatna bug bounty platforma koja vas povezuje s hakerima na bijelom šeširu, bilo da želite pokrenuti privatni ili javni program.

Za hakere, ima ih puno bounties zgrabiti. Ovisno o veličini i industriji tvrtke, dostupni su lovi na bube koji se kreću u rasponu od 1.000 do 20.000 eura.

Synack

Čini se da je Synack jedna od onih tržišnih iznimki koje razbijaju plijesan i na kraju rade nešto masovno. Njihov program sigurnosti Hakirajte Pentagon bio glavni naglasak, koji je doveo do otkrića nekoliko kritičnih ranjivosti.

Dakle, ako tražite ne samo otkrivanje grešaka, već i sigurnosne smjernice i obuku na najvišoj razini, Synack je put kojim treba ići.

Zaključak

Kao što se držite podalje od iscjelitelja koji proglašavaju “čudesnim lijekovima”, budite udaljeni od bilo koje web stranice ili usluge koja kaže da je zaštita od metaka moguća. Sve što možemo je pomaknuti se korak bliže idealu. Kao takvi, programi za bugove ne bi se trebali očekivati ​​da će proizvesti programe nula-grešaka, već ih treba promatrati kao ključnu strategiju uklanjanja doista gadnih programa.

Pogledajte ovo tečaj za lov na bug ako želite naučiti i steći dvoranu slave, nagrade, uvažavanja.

Nadam se da ćete skupiti mnoge bube! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map