Топ-5 платформ Bounty для организаций для повышения безопасности приложений

Только хакер может думать как хакер. Так что, когда дело доходит до того, чтобы стать «защищенным от хакеров», вам может понадобиться обратиться к хакеру.


Безопасность приложений всегда была горячей темой, которая только усиливалась со временем.

Даже имея в своем распоряжении целый ряд инструментов защиты и практики (брандмауэры, SSL, асимметричная криптография и т. Д.), Ни одно веб-приложение не может заявить о своей безопасности вне досягаемости хакеров..

Это почему?

Простая причина в том, что создание программного обеспечения остается очень сложным и хрупким процессом. Внутри фонда все еще есть ошибки (известные и неизвестные), и с появлением нового программного обеспечения и библиотек создаются новые. Даже самые высокотехнологичные компании готовы к случайным затруднениям, и тому есть веская причина..

Приглашаем на работу . , , Хакеры!

Учитывая, что ошибки и уязвимости, вероятно, никогда не покинут царство программного обеспечения, где оно оставляет предприятия, зависящие от этого программного обеспечения, для своего выживания? Как может, например, новое приложение-кошелек быть уверенным, что оно выдержит противные попытки хакеров??

Да, вы уже догадались: нанимая хакеров, чтобы они взломали это новое приложение! И с чего бы это? Только потому, что в продаже есть достаточно большая награда – награда за ошибку! ��

Если слово «щедрость» возвращает воспоминания о Диком Западе и о том, что пули были выпущены без промедления, то это именно то, что идея здесь. Вы так или иначе заставляете самых элитных и знающих хакеров (экспертов по безопасности) озвучивать ваше приложение, и если они что-то находят, они получают вознаграждение.

Есть два способа сделать это: 1) самостоятельно организовывать вознаграждение за ошибки; 2) с помощью платформы ошибок Баунти.

Ошибка Баунти: Самостоятельно против платформ

Зачем вам выбирать (и платить) платформу за ошибки, если вы можете просто разместить ее самостоятельно? Я имею в виду, просто создайте страницу с соответствующими деталями и шуметь в социальных сетях. Это явно не может потерпеть неудачу, верно?

Хакер не убежден!

Ну, это хорошая идея, но взгляните на нее с точки зрения хакера. Борьба за ошибки – нелегкая задача, так как требует нескольких лет обучения, практически безграничного знания старых и новых вещей, тонны решимости и большего творчества, чем у большинства «визуальных дизайнеров» (извините, не смог устоять перед этим!: -П).

Хакер не знает, кто вы, или не уверен, что вы заплатите. Или, может быть, не мотивировано. Самостоятельные награды работают на таких гигантов, как Google, Apple, Facebook и т. Д., Чьи имена люди могут гордиться своим портфолио. «Обнаруженная критическая уязвимость при входе в систему в приложении HRMS, разработанном XYZ Tech Systems», звучит не так впечатляюще, как сейчас (с извинениями перед любой компанией, которая может напоминать это имя!)?

Тогда есть и другие практические (и непреодолимые причины), чтобы не идти в одиночку, когда речь заходит о багах..

Недостаток инфраструктуры

«Хакеры», о которых мы говорили, не те, кто преследует Темную Паутину.

У них нет ни времени, ни терпения для нашего «цивилизованного» мира. Вместо этого мы говорим здесь об исследователях из области компьютерных наук, которые либо учатся в университете, либо давно охотятся за головами. Эти люди хотят и отправляют информацию в определенном формате, что является болью само по себе, чтобы привыкнуть к.

Даже ваши лучшие разработчики будут изо всех сил пытаться не отставать, и альтернативная стоимость может оказаться слишком высокой.

Разрешение представлений

Наконец, есть проблема доказательства. Программное обеспечение может быть построено на полностью детерминированных правилах, но именно тогда, когда будет выполнено конкретное требование, предстоит обсудить. Давайте возьмем пример, чтобы понять это лучше.

Предположим, вы создали щедрость за ошибки аутентификации и авторизации. То есть вы утверждаете, что ваша система свободна от рисков олицетворения, которые хакеры должны подорвать.

Теперь хакер обнаружил слабость, основанную на том, как работает конкретный браузер, что позволяет им украсть маркер сеанса пользователя и выдать себя за него.

Это верный вывод?

С точки зрения хакера, безусловно, как нарушение является нарушением. С вашей точки зрения, возможно, нет, потому что либо вы считаете, что это относится к сфере ответственности пользователя, либо этот браузер просто не имеет значения для вашего целевого рынка.

Если бы вся эта драма происходила на платформе баунти-багов, были бы способные арбитры, чтобы решить влияние открытия и закрыть проблему.

С учетом сказанного, давайте посмотрим на некоторые из популярных платформ баунти.

Hackerone

Среди программ баунти баг, Hackerone является лидером, когда дело доходит до доступа к хакерам, создания ваших программ вознаграждений, распространения информации и оценки вклада.

Вы можете использовать Hackerone двумя способами: использовать платформу для сбора отчетов об уязвимостях и составлять их самостоятельно, или позволить специалистам Hackerone выполнять тяжелую работу (сортировку). Triaging просто – это процесс составления отчетов об уязвимостях, их проверки и общения с хакерами.

Hackerone используется такими громкими именами, как Google Play, PayPal, GitHub, Starbucks и т. Д., Разумеется, для тех, кто с серьезными ошибками и серьезными карманами. ��

Bugcrowd

Bugcrowd предлагает несколько решений для оценки безопасности, одним из которых является Bug Bounty. Он предоставляет SaaS-решение, которое легко интегрируется в существующий жизненный цикл программного обеспечения и позволяет легко запустить успешную программу поиска ошибок..

Вы можете выбрать частную программу по борьбе с ошибками, которая включает несколько хакеров, или общедоступную, которая собирает тысячи источников..

SafeHats

Если вы являетесь предприятием и не чувствуете себя комфортно, когда публикуете свою программу вознаграждения за ошибки – и в то же время нуждаетесь в большем внимании, чем может предложить обычная платформа для вознаграждения за ошибки – SafeHats ваша самая безопасная ставка (ужасный каламбур, да?).

Выделенный консультант по безопасности, подробные профили хакеров, участие только по приглашениям – все это предоставляется в зависимости от ваших потребностей и степени зрелости вашей модели безопасности.

Intigriti

Intigriti представляет собой комплексную платформу для поиска ошибок, которая связывает вас с хакерами White Hat, хотите ли вы запустить частную или общедоступную программу.

Для хакеров есть много щедроты Хватать. В зависимости от размера компании и отрасли возможна охота на жуков от 1000 до 20 000 евро..

SYNACK

Synack, похоже, является одним из тех исключений на рынке, которые ломают шаблон и в итоге делают что-то масштабное. Их программа безопасности Взломать Пентагон был основным событием, приведшим к обнаружению нескольких критических уязвимостей.

Так что, если вы ищете не только обнаружение ошибок, но и руководство по безопасности и обучение на высшем уровне, SYNACK это путь.

Вывод

Так же, как вы держитесь подальше от целителей, которые провозглашают «чудодейственные средства», пожалуйста, держитесь подальше от любого веб-сайта или службы, которые говорят, что пуленепробиваемая безопасность возможна. Все, что мы можем сделать, это приблизиться на шаг к идеалу. Таким образом, не следует ожидать, что программы с наградой за ошибки будут создавать приложения с нулевой ошибкой, а должны рассматриваться как важная стратегия для устранения действительно неприятных.

Проверьте это курс охоты за багами если вы хотите учиться и получить зал славы, награды, признательность.

Я надеюсь, что вы избавитесь от многих ошибок! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map