Top 5 platform Bounty za organizacije za izboljšanje varnosti aplikacij

Samo heker lahko razmišlja kot heker. Torej, ko boste postali “hekerski odporni”, se boste morda morali obrniti na hekerja.


Varnost aplikacij je bila vedno vroča tema, ki se je s časom samo segrela.

Tudi z nizom obrambnih orodij in praks, ki so nam na voljo (požarni zidovi, SSL, asimetrična kriptografija itd.), Nobena spletna aplikacija ne more trditi, da je varna zunaj dosega hekerjev.

Zakaj je tako??

Preprost razlog je, da gradnja programske opreme ostaja zelo kompleksen in krhek proces. Še vedno se pojavljajo napake (znane in neznane) znotraj razvijalcev fundacije, nastajajo pa novi z zagonom nove programske opreme in knjižnic. Tudi vrhunska tehnološka podjetja so pripravljena na občasno zadrego in dober razlog.

Zaposlujemo . . . Hekerji!

Glede na to, da napake in ranljivosti najbrž nikoli ne zapustijo programske podobe, kam pusti podjetja odvisna od te programske opreme za preživetje? Kako se lahko na primer nova aplikacija denarnice prepriča, da se bo uprla grdim poskusom hekerjev?

Da, to ste že uganili: z najemom hekerjev, da pridejo in poberejo to novo kovano aplikacijo! In zakaj bi? Samo zato, ker je na voljo dovolj velika ponudba – nagrada za hrošče! ��

Če beseda “bounty” vrača spomine na Divji zahod in naboje izstreljenih krogel, je to ideja o tem. Nekako dobite najbolj elitne in dobro poznane hekerje (varnostne strokovnjake), da zaslišijo vašo aplikacijo, in če kaj najdejo, dobijo nagrado.

Obstajata dva načina: 1) samostojno gostovanje napak; 2) z uporabo platforme za napake.

Bug Bounty: samostojno gostovanje v primerjavi s platformami

Zakaj bi šli v težavo z izbiro (in plačevanjem) platforme za obračunavanje hroščev, ko jo lahko preprosto gostite sami. Hočem reči, samo ustvarite stran z ustreznimi podrobnostmi in nekaj hrupa na družbenih medijih. Očitno ne more spodleteti, kajne?

Hacker ni prepričan!

No, to je čedna ideja tam, ampak poglejte jo z vidika hekerja. Joštanje za hrošče ni lahka naloga, saj zahteva večletno usposabljanje, praktično neomejeno znanje o starih in novih stvareh, tone odločnosti in več ustvarjalnosti, kot jo ima večina “vizualnih oblikovalcev” (oprostite, temu se ne bi mogli upreti!: -P).

Heker ne ve, kdo ste ali ni prepričan, da boste plačali. Ali pa morda ni motiviran. Samopostrežni bounties delujejo za juggernaut, kot so Google, Apple, Facebook itd., Katerih imena lahko ljudje s ponosom vnesejo v svoj portfelj. “V aplikaciji HRMS, ki jo je razvil XYZ Tech Systems, smo našli kritično ranljivost za prijavo”, se zdaj ne sliši prav impresivno (z ustreznimi opravičili katerega koli podjetja zunaj, ki bi lahko spominjalo na to ime!)?

Potem so tu še drugi praktični (in preobširni razlogi), da ne gremo solo, ko gre za hrošče.

Pomanjkanje infrastrukture

“Hekerji”, o katerih smo govorili, niso tisti, ki zatirajo temni splet.

Tisti nimajo časa ali potrpljenja za naš “civiliziran” svet. Namesto tega govorimo o raziskovalcih iz računalništva, ki so bodisi na univerzi ali pa so že dolgo lov na nagrade. Ti ljudje želijo in pošiljajo informacije v določeni obliki, kar je sama po sebi bolečina, da se je navadijo.

Tudi vaši najboljši razvijalci se bodo borili za to, da bi bili priložnostni stroški morda previsoki.

Reševanje predlogov

Na koncu je še vprašanje dokazovanja. Programska oprema bi lahko temeljila na popolnoma determiniranih pravilih, toda točno kdaj je izpolnjena določena zahteva, je treba razpravljati. Vzemimo primer, da to bolje razumemo.

Recimo, da ste ustvarili množico napak za napake pri preverjanju pristnosti in avtorizacije. Se pravi, trdiš, da je tvoj sistem brez tveganj za lažno predstavljanje, ki jih morajo hekerji podreti.

Zdaj je heker ugotovil slabost glede na to, kako deluje določen brskalnik, ki mu omogoča, da ukradejo uporabnikov žeton seje in se lažno predstavijo..

Je to veljavna ugotovitev?

Z vidika hekerja vsekakor kršitev pomeni kršitev. Morda z vaše perspektive ne, ker bodisi mislite, da to sodi v domeno odgovornosti uporabnika, ali pa ta brskalnik preprosto ne skrbi za vaš ciljni trg.

Če bi se vsa ta drama dogajala na platformi za hroščne napake, bi lahko razsodniki odločali o vplivu odkritja in odpravili težavo.

Glede na to si oglejmo nekatere priljubljene platforme za napake.

Hackerone

Med programi bounty bounty, Hackerone je vodilna pri dostopu do hekerjev, ustvarjanju programov za bounty, širjenju besede in ocenjevanju prispevkov.

Hackerone lahko uporabljate na dva načina: s pomočjo platforme zbirate poročila o ranljivosti in jih sami izdelate ali pa pustite strokovnjakom Hackeroneja, da opravijo težko delo (triaging). Preprosto je postopek zbiranja poročil o ranljivosti, njihovega preverjanja in komunikacije s hekerji.

Hackerone uporabljajo velika imena, kot so Google Play, PayPal, GitHub, Starbucks in podobno, tako da seveda velja za tiste, ki imajo hude napake in resne žepe. ��

Bugcrowd

Bugcrowd ponuja več rešitev za varnostne ocene, ena od njih je Bug Bounty. Ponuja rešitev SaaS, ki se zlahka vključi v vaš obstoječi življenjski cikel programske opreme in omogoča hiter zagon uspešnega programa za odpravljanje napak.

Izberete lahko zasebni program za napake, ki vključuje nekaj hekerjev, ali javni, ki množi tisoče virov.

SafeHats

Če ste podjetje in se ne počutite udobno objavljati svojega programa za hroščev, hkrati pa potrebujete več pozornosti, kot vam jo lahko ponudi tipična platforma za prenos hroščev – SafeHats je vaša najvarnejša stava (grozna punca, kajne?).

Namenski varnostni svetovalec, poglobljeni hekerski profili, samo povabilo – vse je na voljo glede na vaše potrebe in zrelost vašega varnostnega modela.

Intigriti

Intigriti je celovita platforma za napake, ki vas povezuje s hekerji za bele klobuke, ne glede na to, ali želite zagnati zasebni ali javni program.

Za hekerje obstaja veliko bounties zagrabiti. Glede na velikost in panogo podjetja so na voljo lovi na hrošče od 1000 do 20 000 EUR.

Synack

Zdi se, da je Synack ena od tistih izjem na trgu, ki razbijejo plesen in na koncu naredijo nekaj velikega. Njihov program varnosti Hack Pentagon je bil glavni poudarek, kar je vodilo k odkritju več kritičnih ranljivosti.

Če torej iščete ne samo odkrivanje napak, ampak tudi varnostne napotke in usposabljanje na najvišji ravni, Synack je pot.

Zaključek

Ko se izogibate zdravilcem, ki razglašajo “čudežna zdravila”, se izogibajte vsakemu spletnemu mestu ali storitvi, ki navaja, da je zaščita pred nabojem. Vse, kar lahko storimo, je, da se premaknemo korak bližje idealu. Od takšnih programov ne bi smeli pričakovati, da bodo ustvarili aplikacije brez napake, ampak jih je treba obravnavati kot bistveno strategijo pri odpravljanju res grdih programov.

Oglejte si to tečaj lova na bounty če se želite učiti in pridobiti dvorano slave, nagrade, priznanja.

Upam, da boste zbrusili veliko hroščev! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map