Bug Bounty 5 อันดับแรกสำหรับองค์กรเพื่อปรับปรุงความปลอดภัยของแอพพลิเคชั่น

มีเพียงแฮ็กเกอร์เท่านั้นที่คิดว่าเป็นแฮ็กเกอร์ ดังนั้นเมื่อมันกลายเป็น“ แฮ็กเกอร์ที่พิสูจน์แล้ว” คุณอาจต้องหันไปหาแฮ็กเกอร์.


การรักษาความปลอดภัยของแอปพลิเคชันเป็นหัวข้อร้อนแรงที่ทำให้ร้อนแรงขึ้นตามเวลา.

แม้จะมีเครื่องมือป้องกันและการฝึกฝนมากมายในการกำจัดของเรา (ไฟร์วอลล์, SSL, การเข้ารหัสแบบไม่สมมาตรและอื่น ๆ ), ไม่มีแอปพลิเคชันบนเว็บที่สามารถอ้างได้ว่ามันปลอดภัยเกินกว่าแฮ็กเกอร์.

ทำไมเป็นอย่างนั้น?

เหตุผลง่ายๆคือซอฟต์แวร์สร้างยังคงเป็นกระบวนการที่ซับซ้อนและเปราะบาง ยังมีข้อบกพร่อง (รู้จักและไม่รู้จัก) ในการใช้งานพื้นฐานของนักพัฒนาและใหม่ถูกสร้างขึ้นด้วยการเปิดตัวซอฟต์แวร์และไลบรารีใหม่ แม้แต่ บริษัท เทคโนโลยีระดับแนวหน้าก็พร้อมสำหรับความลำบากใจเป็นครั้งคราวและเป็นเหตุผลที่ดี.

ตอนนี้จ้าง . . แฮกเกอร์!

ระบุว่าข้อบกพร่องและช่องโหว่อาจจะไม่เคยออกไปจากอาณาจักรซอฟต์แวร์มันจะปล่อยให้ธุรกิจขึ้นอยู่กับซอฟต์แวร์นี้เพื่อความอยู่รอดของพวกเขา? ตัวอย่างเช่นแอปกระเป๋าเงินใหม่จะแน่ใจได้อย่างไรว่ามันจะยืนหยัดต่อสู้แฮกเกอร์ที่น่ารังเกียจ?

ใช่ตอนนี้คุณเดาได้แล้ว: โดยการจ้างแฮ็กเกอร์เพื่อมาและแตกแอพที่เพิ่งสร้างใหม่นี้! แล้วทำไมล่ะ เพียงเพราะมีข้อเสนอรางวัลใหญ่พอสมควร – ข้อผิดพลาดความโปรดปราน! ��

หากคำว่า “ความโปรดปราน” นำความทรงจำของ Wild West กลับมาและกระสุนถูกไล่ออกโดยไม่ละทิ้งนั่นเป็นความคิดที่แท้จริงที่นี่ คุณได้รับแฮ็กเกอร์ระดับสูงและมีความรู้ (ผู้เชี่ยวชาญด้านความปลอดภัย) ที่จะทำให้แอปของคุณโดดเด่นและหากพวกเขาพบบางสิ่งพวกเขาจะได้รับรางวัล.

มีสองวิธีที่จะดำเนินการเกี่ยวกับเรื่องนี้: 1) โฮสต์รางวัลบั๊กด้วยตัวคุณเอง; 2) การใช้แพลทฟอร์มบั๊กโปรดปราน.

Bug Bounty: โฮสต์ด้วยตนเองกับแพลตฟอร์ม

ทำไมคุณถึงต้องเผชิญกับปัญหาในการเลือก (และจ่ายเงิน) แพลตฟอร์มค่าหัวบั๊กเมื่อคุณเพียงแค่โฮสต์มันด้วยตัวเอง ฉันหมายถึงเพียงแค่สร้างเพจที่มีรายละเอียดที่เกี่ยวข้องและสร้างเสียงรบกวนบนโซเชียลมีเดีย เห็นได้ชัดว่ามันไม่ล้มเหลวใช่ไหม?

แฮ็กเกอร์ไม่มั่นใจ!

นั่นเป็นความคิดที่เรียบร้อย แต่มองจากมุมมองของแฮ็กเกอร์ การหาจุดบกพร่องไม่ใช่เรื่องง่ายเพราะต้องใช้เวลาหลายปีในการฝึกฝนความรู้ที่ไร้ขีด จำกัด ของสิ่งต่าง ๆ ทั้งเก่าและใหม่ความมุ่งมั่นและความคิดสร้างสรรค์มากกว่า “นักออกแบบภาพ” ส่วนใหญ่ (ขออภัยไม่สามารถต้านทานสิ่งนั้นได้!: -P).

แฮ็กเกอร์ไม่ทราบว่าคุณเป็นใครหรือไม่แน่ใจว่าคุณจะต้องจ่าย หรืออาจจะไม่ได้แรงบันดาลใจ เงินรางวัลที่โฮสต์โดยตนเองนั้นทำงานให้กับ juggernauts เช่น Google, Apple, Facebook และอื่น ๆ ซึ่งผู้คนสามารถตั้งชื่อพอร์ตโฟลิโอด้วยความภาคภูมิใจ “ พบช่องโหว่ในการเข้าสู่ระบบที่สำคัญในแอพ HRMS ที่พัฒนาโดย XYZ Tech Systems” ไม่น่าประทับใจเท่านี้ตอนนี้ (ด้วยคำขอโทษจาก บริษัท ใด ๆ ที่อาจมีลักษณะคล้ายกับชื่อนี้!)?

จากนั้นก็มีเหตุผลอื่น ๆ (และเหตุผลที่ท่วมท้น) สำหรับการไม่ไปทำงานเดี่ยวเมื่อพูดถึงเรื่องบั๊ก.

ขาดโครงสร้างพื้นฐาน

“แฮ็กเกอร์” ที่เราพูดถึงไม่ใช่ของที่ Dark Web.

สิ่งเหล่านั้นไม่มีเวลาหรือความอดทนสำหรับโลกที่“ เจริญแล้ว” แต่เรากำลังพูดถึงที่นี่เกี่ยวกับนักวิจัยจากพื้นฐานวิทยาการคอมพิวเตอร์ที่เป็นทั้งมหาวิทยาลัยหรือเคยเป็นนักล่าเงินรางวัลมาเป็นเวลานาน คนเหล่านี้ต้องการและส่งข้อมูลในรูปแบบเฉพาะซึ่งเป็นความเจ็บปวดในตัวเองเพื่อให้ชินกับ.

แม้แต่นักพัฒนาซอฟต์แวร์ที่ดีที่สุดของคุณก็ยังต้องดิ้นรนเพื่อให้ทันและโอกาสที่ราคาอาจสูงเกินไป.

การแก้ไขการส่ง

ในที่สุดก็มีปัญหาการพิสูจน์ ซอฟต์แวร์อาจถูกสร้างขึ้นบนกฎที่กำหนดอย่างสมบูรณ์ แต่เมื่อใดที่มีข้อกำหนดเฉพาะที่ตรงตามความต้องการ ลองยกตัวอย่างเพื่อทำความเข้าใจสิ่งนี้ให้ดีขึ้น.

สมมติว่าคุณสร้างข้อผิดพลาดสำหรับการตรวจสอบสิทธิ์และข้อผิดพลาดการอนุญาต กล่าวคือคุณอ้างว่าระบบของคุณปราศจากความเสี่ยงจากการแอบอ้างบุคคลอื่นซึ่งแฮกเกอร์ต้องล้มล้าง.

ตอนนี้แฮ็กเกอร์พบจุดอ่อนตามการทำงานของเบราว์เซอร์ที่เฉพาะเจาะจงซึ่งทำให้พวกเขาสามารถขโมยโทเค็นเซสชันของผู้ใช้และปลอมตัวเป็นพวกเขาได้.

นั่นคือการค้นพบที่ถูกต้อง?

จากมุมมองของแฮ็กเกอร์แน่นอนว่าการละเมิดเป็นการฝ่าฝืน จากมุมมองของคุณอาจจะไม่ใช่เพราะคุณคิดว่าสิ่งนี้ตกอยู่ในความรับผิดชอบของผู้ใช้หรือเบราว์เซอร์นั้นไม่เกี่ยวข้องกับตลาดเป้าหมายของคุณ.

หากละครเรื่องนี้เกิดขึ้นบนแพลตฟอร์มที่มีข้อผิดพลาดจะมีอนุญาโตตุลาการที่มีความสามารถในการตัดสินใจผลกระทบของการค้นพบและปิดปัญหา.

จากที่กล่าวมาให้ดูแพลตฟอร์มที่เป็นที่นิยมของบั๊กที่มีอยู่.

Hackerone

ในบรรดาโปรแกรมโปรดปรานบั๊ก, Hackerone เป็นผู้นำเมื่อมันมาถึงการเข้าถึงแฮกเกอร์สร้างโปรแกรมรางวัลของคุณกระจายคำและประเมินผลงาน.

มีสองวิธีที่คุณสามารถใช้ Hackerone: ใช้แพลตฟอร์มเพื่อรวบรวมรายงานช่องโหว่และทำงานด้วยตัวคุณเองหรือให้ผู้เชี่ยวชาญที่ Hackerone ทำงานหนัก (triaging) Triaging เป็นกระบวนการรวบรวมรายงานความเสี่ยงตรวจสอบและสื่อสารกับแฮกเกอร์.

Hackerone นั้นถูกใช้โดยชื่อใหญ่ ๆ อย่าง Google Play, PayPal, GitHub, Starbucks และอื่น ๆ ที่เป็นเช่นนั้นแน่นอนสำหรับผู้ที่มีข้อบกพร่องร้ายแรงและกระเป๋าเงินร้ายแรง ��

Bugcrowd

Bugcrowd นำเสนอโซลูชั่นที่หลากหลายสำหรับการประเมินความปลอดภัยโดยหนึ่งในนั้นคือ Bug Bounty มันมีโซลูชัน SaaS ที่รวมเข้ากับวงจรชีวิตซอฟต์แวร์ที่มีอยู่ของคุณได้อย่างง่ายดายและทำให้การเรียกใช้โปรแกรมบั๊กที่ประสบความสำเร็จเป็นเรื่องง่าย.

คุณสามารถเลือกที่จะมีโปรแกรมข้อผิดพลาดส่วนตัวที่เกี่ยวข้องกับแฮ็กเกอร์ที่ได้รับการคัดเลือกหรือสาธารณะที่มีผู้คนมากมาย.

SafeHats

หากคุณเป็นองค์กรและไม่รู้สึกสะดวกสบายที่จะทำให้โปรแกรมรางวัลบั๊กของคุณเป็นแบบสาธารณะและในขณะเดียวกันก็ต้องการความสนใจมากกว่าที่จะได้รับจากแพลตฟอร์มของรางวัลโดยทั่วไป – SafeHats การเดิมพันที่ปลอดภัยที่สุดของคุณคืออะไร (ปุนแย่มากเหรอ?).

ที่ปรึกษาด้านความปลอดภัยโดยเฉพาะโปรไฟล์แฮ็กเกอร์ในเชิงลึกการเข้าร่วมเชิญเท่านั้น – ทั้งหมดนี้มีให้ตามความต้องการและวุฒิภาวะของรูปแบบความปลอดภัยของคุณ.

Intigriti

Intigriti เป็นแพลตฟอร์มที่ครอบคลุมข้อผิดพลาดที่เชื่อมโยงคุณกับแฮกเกอร์หมวกสีขาวไม่ว่าคุณต้องการเรียกใช้โปรแกรมส่วนตัวหรือสาธารณะ.

สำหรับแฮกเกอร์นั้นมีมากมาย โปรดปราน ที่จะคว้า. ขึ้นอยู่กับขนาดและอุตสาหกรรมของ บริษัท นั้นมีการล่าสัตว์แมลงตั้งแต่ 1,000 ถึง 20,000 ยูโร.

Synack

Synack ดูเหมือนจะเป็นหนึ่งในข้อยกเว้นทางการตลาดที่ทำลายแม่พิมพ์และจบลงด้วยการทำสิ่งที่ยิ่งใหญ่ โปรแกรมความปลอดภัย แฮ็กเพนตากอน เป็นไฮไลต์สำคัญที่นำไปสู่การค้นพบช่องโหว่ที่สำคัญหลายประการ.

ดังนั้นหากคุณกำลังมองหาไม่เพียง แต่การค้นพบบั๊ก แต่ยังให้คำแนะนำด้านความปลอดภัยและการฝึกอบรมในระดับสูงสุด, Synack เป็นวิธีที่จะไป.

ข้อสรุป

เช่นเดียวกับที่คุณอยู่ห่างจากหมอที่ประกาศ“ การรักษาความมหัศจรรย์” โปรดอยู่ห่างจากเว็บไซต์หรือบริการใด ๆ ที่ระบุว่าการรักษาความปลอดภัยกระสุนเป็นไปได้ สิ่งที่เราทำได้คือขยับเข้าไปใกล้อุดมคติหนึ่งขั้น ดังนั้นจึงไม่ควรคาดหวังว่าโปรแกรมบั๊กโปรดปรานจะสร้างแอพพลิเคชั่น zero-bug แต่ควรถูกมองว่าเป็นกลยุทธ์ที่สำคัญในการกำจัดสิ่งที่น่ารังเกียจจริงๆ.

ลองดูสิ ข้อผิดพลาดหลักสูตรการล่าสัตว์โปรดปราน หากต้องการเรียนรู้และได้รับเกียรติชื่อเสียงรางวัลชื่นชม.

ฉันหวังว่าคุณจะสควอชแมลงมาก ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map