Top 5 platforme pentru bug-uri de recompense pentru organizații pentru îmbunătățirea securității aplicațiilor

Doar un hacker poate gândi ca un hacker. Așadar, atunci când vine vorba de a deveni „hacker-proof”, poate fi necesar să apelați la un hacker.


Securitatea aplicațiilor a fost întotdeauna un subiect fierbinte care a devenit mai cald doar cu timpul.

Chiar și cu o mulțime de instrumente și practici defensive la dispoziția noastră (firewall-uri, SSL, criptografie asimetrică etc.), nicio aplicație bazată pe web nu poate pretinde că este sigură dincolo de câștigul hackerilor.

De ce este asta?

Motivul simplu este că software-ul de construire rămâne un proces foarte complex și fragil. Există încă bug-uri (cunoscute și necunoscute) în interiorul dezvoltatorilor fundației, iar altele noi sunt create odată cu lansarea de noi software și biblioteci. Chiar și companiile tehnologice de top sunt gata pentru jenă ocazională și un motiv bun.

Acum angajarea . . . hackerii!

Având în vedere că erorile și vulnerabilitățile nu vor părăsi niciodată tărâmul software, unde lasă companiile dependente de acest software pentru supraviețuirea lor? Cum poate, de exemplu, o nouă aplicație portofel, să fie sigur că va opune încercările urâte ale hackerilor?

Da, ați ghicit-o până acum: angajând hackeri să vină și să facă o fisură în această aplicație recent concepută! Și de ce ar vrea? Doar pentru că există o ofertă suficient de mare – oferta de bug-uri! ��

Dacă cuvântul „bounty” readuce amintiri despre Vestul Sălbatic și gloanțele trasă fără abandon, aceasta este exact ideea de aici. Într-un fel obțineți cei mai elitați și cunoscuți hackeri (experți în securitate) să vă sune aplicația, iar dacă găsesc ceva, primesc recompensă.

Există două modalități de a face despre aceasta: 1) găzduirea unui cont de bug-uri pe cont propriu; 2) folosind o platformă de bounty bug.

Bug Bounty: Self-gazduit vs. platforme

De ce te-ai confrunta cu să selectezi (și să plătești) o platformă de recompense pentru bug-uri atunci când poți pur și simplu să o găzduiești pe cont propriu. Adică, creați doar o pagină cu detaliile relevante și faceți zgomot pe rețelele de socializare. În mod evident nu poate eșua, nu?

Hackerul nu este convins!

Ei bine, aceasta este o idee corectă, dar uită-te din perspectiva hackerului. Nu este o sarcină ușoară să zbârliți, deoarece necesită câțiva ani de pregătire, cunoștințe practic nelimitate despre lucruri vechi și noi, tone de determinare și mai multă creativitate decât majoritatea „proiectanților vizuali” au (ne pare rău, nu ar putea rezista!) -P).

Hackerul nu știe cine sunteți sau nu este sigur că veți plăti. Sau poate, nu este motivat. Recunoașterile găzduite de sine lucrează pentru jonglerii precum Google, Apple, Facebook etc., ale căror nume oamenii le pot pune în portofoliu cu mândrie. „S-a găsit o vulnerabilitate critică de autentificare în aplicația HRMS dezvoltată de XYZ Tech Systems” nu sună acum impresionant (cu scuze cuvenite oricărei companii de acolo care ar putea semăna cu acest nume!)?

Apoi, există și alte motive practice (și copleșitoare) pentru a nu merge solo când vine vorba de bounties bug.

Lipsa infrastructurii

„Hackerii” despre care am vorbit nu sunt cei care urmăresc Dark Web.

Aceia nu au timp sau răbdare pentru lumea noastră „civilizată”. În schimb, vorbim aici despre cercetători din mediul informatic, care sunt fie la o universitate sau au fost un vânător de recompense pentru o lungă perioadă de timp. Acești oameni doresc și transmit informații într-un format specific, care este o durere în sine pentru a se obișnui.

Chiar și cei mai buni dezvoltatori se vor lupta să țină pasul, iar costul oportunității s-ar putea dovedi a fi prea mare.

Rezolvarea trimiterilor

În cele din urmă, există problema probei. Software-ul ar putea fi construit pe reguli complet deterministe, dar exact atunci când este îndeplinită o cerință specială este de dezbătut. Să luăm un exemplu pentru a înțelege mai bine acest lucru.

Să presupunem că ați creat o sumă de eroare pentru erori de autentificare și autorizare. Adică, susțineți că sistemul dvs. nu este supus riscurilor pe care le-ar putea răspunde de către hackeri.

Acum, hackerul a descoperit o slăbiciune bazată pe modul în care funcționează un anumit browser, ceea ce le permite să fure jetonul de sesiune al unui utilizator și să le înlocuiască.

Este o constatare validă?

Din perspectiva hackerului, cu siguranță, ca o încălcare este o încălcare. Din perspectiva dvs., poate nu, deoarece fie credeți că aceasta intră în domeniul responsabilității utilizatorului, fie că acel browser nu este pur și simplu o preocupare pentru piața dvs. vizată..

Dacă toată această dramă s-ar întâmpla pe o platformă de recompense pentru bug-uri, nu ar exista arbitri capabili să decidă impactul descoperirii și să închidă problema.

Cu acest lucru, să ne uităm la unele dintre cele mai populare platforme de recompense pentru bug-uri de acolo.

Hackerone

Printre programele de recompense pentru bug-uri, Hackerone este lider când vine vorba de accesarea hackerilor, de crearea programelor dvs. de recompense, de răspândire a cuvântului și de evaluare a contribuțiilor.

Există două moduri în care puteți utiliza Hackerone: utilizați platforma pentru a colecta rapoarte de vulnerabilitate și a le elabora singuri sau lăsați experții de la Hackerone să facă eforturi grele (triaging). Încercarea este pur și simplu procesul de compilare a rapoartelor de vulnerabilitate, verificarea acestora și comunicarea cu hackerii.

Hackerone este folosit de nume mari precum Google Play, PayPal, GitHub, Starbucks și altele asemenea, desigur, este pentru cei care au buguri grave și buzunare grave. ��

Bugcrowd

Bugcrowd oferă mai multe soluții pentru evaluările de securitate, una dintre ele fiind Bug Bounty. Oferă o soluție SaaS care se integrează cu ușurință în ciclul de viață al software-ului existent și îl face să funcționeze rapid pentru a rula un program de succes cu recompense pentru bug-uri.

Puteți alege să aveți un program privat de recompensare a erorilor care implică câțiva hackeri selectați sau unul public care să adune surse de mii.

SafeHats

Dacă sunteți o întreprindere și nu vă simțiți confortabil să faceți public programul dvs. de recompense pentru bug-uri – și în același timp aveți nevoie de mai multă atenție decât poate fi oferită de o platformă tipică de recompense pentru bug-uri – SafeHats este pariul tău cel mai sigur (pun cumplit, nu?).

Consilier dedicat securității, profiluri de hackeri aprofundate, participare numai la invitație – totul este furnizat în funcție de nevoile și maturitatea modelului dvs. de securitate.

Intigriti

Intigriti este o platformă cuprinzătoare de recompense pentru bug-uri, care vă conectează cu hackerii de pălării albe, indiferent dacă doriți să rulați un program privat sau unul public.

Pentru hackeri, există o mulțime de Recompensă a apuca. În funcție de mărimea și industria companiei, sunt disponibile vânătoare de erori cuprinse între 1.000 și 20.000 €.

Synack

Synack pare să fie una dintre acele excepții de pe piață care sparg mucegaiul și sfârșesc prin a face ceva masiv. Programul lor de securitate Piratează Pentagonul a fost principalul punct culminant, ceea ce a dus la descoperirea mai multor vulnerabilități critice.

Așadar, dacă căutați nu doar descoperirea erorilor, ci și ghidarea și instruirea în materie de securitate la nivel superior, Synack este calea de urmat.

Concluzie

La fel cum stai departe de vindecătorii care proclamă „leacuri miraculoase”, te rog să stai departe de orice site sau serviciu care spune că este posibilă securitatea antiglonț. Tot ce putem face este să ne îndreptăm cu un pas mai aproape de ideal. Ca atare, programele de recompense pentru bug-uri nu ar trebui să producă aplicații cu eroare zero, ci ar trebui privite ca o strategie esențială pentru eliminarea celor cu adevărat urâte.

Verifica asta curs de vânătoare pentru bug-uri dacă caută să înveți și să câștigi sala de faimă, recompense, aprecieri.

Sper să vă strică multe dintre erori! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map