Top 5 Bug Bounty platforiem pre organizácie na zlepšenie bezpečnosti aplikácií

Iba hacker môže myslieť ako hacker. Takže, keď príde na to, aby sa stal „hacker-proof“, možno budete musieť obrátiť na hackera.


Bezpečnosť aplikácií bola vždy horúcou témou, ktorá sa s časom iba oteplila.

Aj keď máme k dispozícii horúcu defenzívne nástroje a prax (brány firewall, SSL, asymetrická kryptografia atď.), Žiadna webová aplikácia nemôže tvrdiť, že je bezpečná mimo dosahu hackerov..

Prečo je to tak??

Jednoduchý dôvod je ten, že stavebný softvér zostáva veľmi zložitý a krehký proces. V rámci nadácie vývojári stále používajú chyby (známe a neznáme), ktoré vznikajú pri zavádzaní nového softvéru a knižníc. Dokonca aj špičkové technologické spoločnosti sú pripravené na občasné rozpaky a to je dobrý dôvod.

Teraz prenajíma. , , hackeri!

Vzhľadom na to, že chyby a zraniteľné miesta pravdepodobne nikdy neopustia oblasť softvéru, kde nechajú podniky na prežitie závislé od tohto softvéru? Ako si môže byť napríklad nová aplikácia peňaženky istá, že sa postaví proti nepríjemným pokusom hackerov?

Áno, už ste to uhádli: najatím hackerov, aby prišli a urobili trhlinu v tejto novo razenej aplikácii! A prečo by? Len preto, že je v ponuke dostatočne veľká odmena – odmena za chybu! ��

Ak slovo „štedrosť“ vráti spomienky na divoký západ a guľky sú vystrelené bez opustenia, presne o to ide. Nejakým spôsobom získate najelitnejších a najznámejších hackerov (odborníkov v oblasti bezpečnosti), ktorí vydajú vašu aplikáciu, a ak niečo nájdu, dostanú odmenu.

Existujú dva spôsoby, ako to vyriešiť: 1) hosťovanie chyby pri odchode z hry na vlastnú päsť; 2) pomocou platformy odmien o chybe.

Bug Bounty: Hostiteľ verzus platformy

Prečo by ste sa dostali k ťažkostiam pri výbere (a platení) platformy na odmenu za chybu, keď ju môžete jednoducho hostiť na vlastnú päsť. Myslím tým, že si jednoducho vytvorím stránku s relevantnými podrobnosťami a urobí trochu hluku na sociálnych sieťach. Zrejme to nemôže zlyhať, správne?

Hacker nie je presvedčený!

Je to úhľadný nápad, ale pozrite sa naň z pohľadu hackera. Riešenie problémov nie je ľahká úloha, pretože si vyžaduje niekoľko rokov odbornej prípravy, prakticky neobmedzené znalosti vecí starých a nových, veľa odhodlania a viac kreativity, ako väčšina „vizuálnych dizajnérov“ (prepáčte, nemohla odolať tejto!): -P).

Hacker nevie, kto ste, alebo si nie je istý, či budete platiť. Alebo možno nie je motivovaný. Samohybné odmeny pracujú pre juggernauts ako Google, Apple, Facebook atď., Ktorých mená môžu ľudia s hrdosťou vložiť do svojho portfólia. „V aplikácii HRMS, ktorú vyvinula spoločnosť XYZ Tech Systems, našla kritickú zraniteľnosť pri prihlásení, to neznie pôsobivo, teraz to robí (s náležitým ospravedlnením akejkoľvek spoločnosti, ktorá by sa podobala tomuto názvu!)?

Potom existujú aj ďalšie praktické dôvody (a drvivé dôvody), prečo sa nevenovať sólo, pokiaľ ide o chyby štrajkov.

Nedostatok infraštruktúry

„Hackeri“, o ktorých sme hovorili, nie sú tí, ktorí sledujú temný web.

Títo nemajú čas ani trpezlivosť pre náš „civilizovaný“ svet. Namiesto toho tu hovoríme o vedcoch z oblasti informatiky, ktorí sú buď na univerzite, alebo boli lovcom odmeny po dlhú dobu. Títo ľudia chcú a predkladajú informácie v špecifickom formáte, na ktorý si sami zvyknú.

Dokonca aj vaši najlepší vývojári sa budú snažiť udržať krok a náklady na príležitosti sa môžu ukázať ako príliš vysoké.

Riešenie podaní

Nakoniec je tu otázka dôkazu. Softvér by mohol byť postavený na úplne deterministických pravidlách, ale presne vtedy, keď je splnená konkrétna požiadavka, je potrebné diskutovať. Urobme príklad, aby sme to lepšie pochopili.

Predpokladajme, že ste vytvorili chybu chyby pri overovaní a autorizačných chybách. To znamená, že tvrdíte, že váš systém neobsahuje riziká odcudzenia identity, ktoré hackeri musia podstúpiť.

Hacker teraz našiel slabinu na základe toho, ako konkrétny prehliadač funguje, čo im umožňuje ukradnúť token relácie používateľa a zosobniť ho.

Je to platný nález?

Z pohľadu hackerov určite ide o porušenie. Z vášho pohľadu možno nie, pretože buď si myslíte, že to patrí do oblasti zodpovednosti používateľa, alebo že prehliadač jednoducho nie je problémom pre váš cieľový trh..

Keby sa všetky tieto drámy odohrávali na platforme bugových odmien, mohli by arbitri rozhodnúť o dopade objavu a problém uzavrieť..

Vďaka tomu sa pozrime na niektoré z populárnych platforiem na odplaty chýb.

Hackerone

Medzi programami na odmenu za chyby, Hackerone je lídrom, pokiaľ ide o prístup k hackerom, vytváranie vašich prémiových programov, šírenie slova a hodnotenie príspevkov.

Hackerone môžete použiť dvoma spôsobmi: pomocou platformy zbierajte hlásenia o zraniteľnosti a vypracujte ich sami, alebo nechajte odborníkov na hackerone robiť tvrdú prácu (triaging). Triaging je jednoducho proces zostavovania správ o zraniteľnosti, ich overenia a komunikácie s hackermi.

Hackerone používajú veľké mená ako Google Play, PayPal, GitHub, Starbucks a podobne. Samozrejme je to pre tých, ktorí majú vážne chyby a vážne vrecká. ��

Bugcrowd

Bugcrowd ponúka niekoľko riešení na hodnotenie bezpečnosti, pričom jedným z nich je Bug Bounty. Poskytuje riešenie SaaS, ktoré sa ľahko integruje do vášho existujúceho životného cyklu softvéru a vďaka ktorému je možné spustiť úspešný program odmeňovania chyby..

Môžete si vybrať, či budete mať súkromný program na odmenu za chyby, ktorý zahŕňa niekoľko málo hackerov alebo verejný program, ktorý davuje zdroje do tisícov.

SafeHats

Ak ste podnik a necítite sa dobre zverejňovať svoj program na odmenu za chyby – a zároveň potrebujete viac pozornosti, než akú môže ponúknuť typická platforma na odmenu za chyby – SafeHats je vaša najbezpečnejšia stávka (hrozná hračka, čo?).

Vyhradený bezpečnostný poradca, dôkladné profily hackerov, účasť iba na pozvaní – všetko je poskytované v závislosti od vašich potrieb a vyspelosti vášho modelu zabezpečenia.

Intigriti

Intigriti je komplexná platforma na odškodnenie chýb, ktorá vás spojí s hackermi v oblasti bielych klobúkov, či už chcete spustiť súkromný alebo verejný program..

Pre hackerov je ich veľa bounty chytiť. V závislosti od veľkosti spoločnosti a odvetvia sú k dispozícii lovy chýb v rozmedzí od 1 000 do 20 000 EUR.

synček

Zdá sa, že Synack je jednou z tých trhových výnimiek, ktoré prelomia formu a nakoniec urobia niečo masívne. Ich bezpečnostný program Rozdrvte Pentagón bol hlavným bodom vedúcim k objaveniu niekoľkých kritických zraniteľností.

Takže ak hľadáte nielen objavenie chyby, ale aj bezpečnostné pokyny a školenia na najvyššej úrovni, synček je spôsob, ako ísť.

záver

Rovnako ako sa vyhýbate liečiteľom, ktorí vyhlasujú „zázračné lieky“, zdržujte sa prosím od akejkoľvek webovej stránky alebo služby, ktorá hovorí, že je možná nepriestrelná bezpečnosť. Všetko, čo môžeme urobiť, je posunúť sa o krok bližšie k ideálu. Nemalo by sa preto očakávať, že programy odmeňovania bugov budú produkovať aplikácie s nulovými chybami, ale mali by sa považovať za základnú stratégiu pri odstraňovaní skutočne škaredých programov..

Vyskúšajte to kurz lovu štrajkov ak sa chcete učiť a získať si sieň slávy, odmien, ocenenia.

Dúfam, že ste rozdrtili mnoho z nich! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map