Az öt legfontosabb Bug Bounty-platform a szervezetek számára az alkalmazások biztonságának javítása érdekében

Csak egy hacker gondolhat úgy, mint egy hacker. Tehát, ha a hackerekkel szemben védettvé válik, akkor lehet, hogy hackerekhez kell fordulnia.


Az alkalmazásbiztonság mindig is olyan téma volt, amely az idő múlásával csak melegedett.

Még a rendelkezésünkre álló védőeszközök és gyakorlatok (tűzfalak, SSL, aszimmetrikus kriptográfia stb.) Felhasználásával sem egyetlen internetes alkalmazás sem állíthatja azt, hogy biztonságos-e a hackerek elől..

Miert van az?

Az egyszerű ok az, hogy a szoftverépítés továbbra is nagyon összetett és törékeny folyamat. Még mindig vannak hibák (ismertek és ismeretlenek) az alapítvány fejlesztőiben, és újak készülnek új szoftver és könyvtárak bevezetésével. Még a legmagasabb szintű tech-cégek is készen állnak az alkalmi zavarra, és ez jó ok.

Most bérelem. . . hackerek!

Tekintettel arra, hogy a hibák és a sebezhetőségek valószínűleg soha nem hagyják el a szoftver birodalmát, hol hagyja a vállalkozásokat fennmaradásuk miatt e szoftvertől? Hogyan lehet például egy új pénztárca-alkalmazást biztosítani, hogy ellenáll-e a hackerek csúnya próbáinak??

Igen, már kitalálta: hackereket bérelt fel, hogy jöjjenek és repedjenek az újonnan verdelt alkalmazáson! És miért tennék? Csak azért, mert van elég nagy hamis ajánlat – a bug bounty! ��

Ha a „fejrész” szó visszahozza a vadnyugat emlékeit és a golyókat, amelyek elhagyása nélkül lőttek, pontosan ez az, amire itt gondolunk. Valahogy elkapja a leginkább elit és hozzáértő hackereket (biztonsági szakértők) az alkalmazás kihangsúlyozására, és ha találnak valamit, akkor jutalmat kapnak..

Kétféle módon lehet ezt megtenni: 1) egy bug bounty házigazdája; 2) bug bounty platform használata.

Bug Bounty: Saját házigazda vs.

Miért kellene a hibatűrő platform kiválasztásával (és kifizetésével) kapcsolatos bajba jutnia, ha egyszerűen csak saját magának tudja tárolni. Úgy értem, csak hozzon létre egy oldalt a lényeges részletekkel, és némi zajt okoz a közösségi médiában. Nyilvánvalóan nem bukhat meg, igaz?

Hacker nincs meggyőződve!

Nos, ez egy remek ötlet ott, de nézd meg a hacker szempontjából. A hibakeresés nem könnyű feladat, mivel több éves képzésre, a régi és új dolgok gyakorlatilag korlátlan ismeretére, nagy mennyiségű elszántságra és több kreativitásra van szükség, mint a legtöbb „látványtervezőnek” (sajnálom, nem tudtam ellenállni ennek!) -P).

A hackerek nem tudják, ki vagy, vagy nem biztos abban, hogy fizetni fognak. Vagy talán nem motivált. Az önálló házigazdák olyan juggernauts-ok számára működnek, mint a Google, az Apple, a Facebook, stb., Amelyek nevét az emberek büszkeséggel adhatják portfóliójukba. „A XYZ Tech Systems által kifejlesztett HRMS alkalmazásban egy kritikus bejelentkezési biztonsági rést talált.” Nem hangzik lenyűgözőnek, de ezt megteszi (kellő bocsánatot kérve minden ott működő vállalattól, amely hasonlíthat ehhez a névhez!)?

Aztán vannak más gyakorlati okok (és elsöprő okok miatt), hogy miért nem megy solo-ra, ha hibákat keresünk.

Az infrastruktúra hiánya

A „hackerek”, amelyekről beszélünk, nem azok, amelyek a Sötét Internetet követik.

Ezeknek nincs idejük vagy türelem a „civilizált” világunk iránt. Ehelyett itt olyan informatikai háttérrel rendelkező kutatókról beszélünk, akik vagy egyetemen vannak, vagy sokáig fejvadászok. Ezek az emberek információkat és formátumot kérnek és nyújtanak be, ami önmagában is fájdalom, hogy hozzászokjanak.

Még a legjobb fejlesztők is küzdenek a lépésekkel, és az alternatív költségek túlságosan magasak lehetnek.

A beadványok megoldása

Végül felmerül a bizonyítás kérdése. Lehet, hogy a szoftverek teljesen determinisztikus szabályokra épülnek, de a vita tárgya pontosan mikor teljesül egy adott követelmény. Vegyünk egy példát ennek jobb megértésére.

Tegyük fel, hogy létrehozott egy hibajavaslatot a hitelesítési és engedélyezési hibákhoz. Vagyis azt állítja, hogy rendszere mentes a megszemélyesítés kockázatától, amelyet a hackereknek alá kell vetniük.

A hackert egy bizonyos böngésző működése alapján gyengeséget talált, amely lehetővé teszi számukra, hogy ellopják a felhasználói munkamenet-tokent és megszemélyesítsék őket..

Ez érvényes megállapítás?

A hackerek szempontjából határozottan, mivel a sértés sértés. A perspektíva szempontjából talán nem, mert vagy úgy gondolja, hogy ez a felhasználó felelősségi körébe tartozik, vagy hogy a böngésző egyszerűen nem jelent aggodalmat a célpiac számára.

Ha ez a dráma egy bug bounty platformon zajlik, akkor választottbírók képesek lesznek dönteni a felfedezés hatásáról és bezárják a kérdést.

Ezzel összefüggésben nézzük meg odakinn néhány népszerű bug bounty platformot.

Hackerone

A bug bounty programok között, Hackerone a vezető a hackerek elérésében, a hamis programok létrehozásában, a szó terjesztésében és a hozzájárulások értékelésében.

Kétféle módon használhatja a Hackerone-t: a platformon keresztül gyűjtheti a sebezhetőségi jelentéseket és dolgozza ki őket, vagy hagyja, hogy a Hackerone szakértői elvégzik a kemény munkát (próbaverzió). A kipróbálás egyszerűen a sebezhetőségi jelentések összeállításának, ellenőrzésének és a hackerekkel való kommunikációnak a folyamata.

A Hackerone-t olyan nagy nevek használják, mint a Google Play, PayPal, GitHub, Starbucks és hasonlók, tehát természetesen azok számára, akiknek súlyos hibái vannak és súlyos zsebük van. ��

Bugcrowd

Bugcrowd számos megoldást kínál a biztonsági kiértékelésekhez, az egyik a Bug Bounty. Ez egy SaaS megoldást kínál, amely könnyen integrálódhat a meglévő szoftver életciklusába, és egy pillanat alatt lehetővé teszi a sikeres hibaelhárító program futtatását..

Választhat egy magánhiba-visszatérítési programot, amelyben néhány kiválasztott hackert vesz részt, vagy egy nyilvános, amely több ezer forrásra törekszik.

SafeHats

Ha vállalkozás vagy, és nem érzi magát úgy, hogy nyilvánosságra hozza programját a bug bounty programjára – és ugyanakkor több figyelmet igényel, mint amit egy tipikus bug bounty platform kínálhat – SafeHats a legbiztosabb tét (szörnyű büntetés, mi?).

Dedikált biztonsági tanácsadó, alapos hacker profilok, csak meghívásos részvétel – mindez az Ön igényeitől és a biztonsági modell érettségétől függően biztosított..

Intigriti

Intigriti egy átfogó bug bounty platform, amely összeköti Önt a fehér kalap hackerekkel, függetlenül attól, hogy privát vagy nyilvános programot szeretne futtatni.

A hackerek számára rengeteg van prémiumok megragad. A társaság méretétől és iparágától függően 1000 és 20 000 euró közötti vadászat érhető el.

SYNACK

Úgy tűnik, hogy a Synack azon piaci kivételek egyike, amelyek megbontják a penészgombot, és végül valami hatalmas tevékenységet végeznek. A biztonsági programjuk Hack a Pentagonban volt a legfontosabb esemény, amely számos kritikus sebezhetőség felfedezéséhez vezetett.

Tehát, ha nemcsak a hibákat fedezi fel, hanem a biztonsági útmutatásokat és a legfelső szintű képzést is, SYNACK az út.

Következtetés

Amint távol tartózkodik a „csodát gyógyító gyógyszereket” hirdető gyógyítóktól, kérjük, tartózkodjon minden olyan webhelytől vagy szolgáltatástól, amely szerint a golyóálló biztonság lehetséges. Csak annyit tehetünk, hogy egy lépéssel közelebb kerülünk az ideál felé. Mint ilyen, a bug bounty programoktól nem várható el, hogy nullhiba alkalmazásokat hozzanak létre, hanem alapvető stratégiának kell tekinteni az igazán csúnya programok eltávolításában..

Nézd meg ezt bug fejvadász tanfolyam ha tanulni szeretne, és megszerezni a hírnevet, jutalmakat, elismerést.

Remélem, hogy sok em hibát kipróbáltál! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map