Top 5 bugbeloningsplatforms vir organisasies om die beveiliging van toepassings te verbeter

Slegs ‘n hacker kan soos ‘n hacker dink. Dus, as dit gaan om ‘hacker-proof’ te word, moet u moontlik na ‘n hacker wend.


Toepassingsekuriteit was nog altyd ‘n warm onderwerp wat mettertyd net warmer geword het.

Selfs met ‘n horde verdedigingsinstrumente en oefening tot ons beskikking (firewalls, SSL, asimmetriese kriptografie, ens.), Kan geen webtoepassing beweer dat dit veilig is buite die bereik van hackers nie.

Hoekom is dit?

Die eenvoudige rede is dat die bou van sagteware ‘n baie ingewikkelde en bros proses bly. Daar is nog steeds foute (bekend en onbekend) in die fondament wat ontwikkelaars gebruik, en nuwes word geskep met die bekendstelling van nuwe sagteware en biblioteke. Selfs die toonaangewende tegniese ondernemings is gereed vir af en toe verleentheid, en ‘n goeie rede.

Werksgeleentheid beskikbaar . . . hackers!

Aangesien foute en kwesbaarhede waarskynlik nooit die sagtewaregebied sal verlaat nie, waar laat dit die ondernemings afhanklik van hierdie sagteware om te oorleef? Hoe kan ‘n nuwe beursie-app byvoorbeeld seker wees dat dit opstaan ​​teen die nare pogings van hackers??

Ja, jy het dit nou al geraai: deur hackers te huur om hierdie nuut-gesentreerde app te kom krap! En waarom sou hulle? Net omdat daar ‘n groot genoeg bedrag aangebied word – die goggas! ��

As die woord “oorvloed” herinner word aan die Wilde Weste en koeëls wat afgevuur word sonder om te laat vaar, is dit presies wat die idee hier is. U kry op die een of ander manier die mees elite en kundige hackers (sekuriteitskenners) om u app uit te lui, en as hulle iets vind, word hulle beloon.

Daar is twee maniere om dit te bewerkstellig: 1) die aanbied van ‘n bug-bounty op u eie; 2) die gebruik van ‘n bug bounty platform.

Bug Bounty: self aangebied teen platforms

Waarom sou u die moeite doen om ‘n bug bounty-platform te kies (en te betaal) as u dit eenvoudig op u eie kan aanbied? Ek bedoel, skep net ‘n bladsy met die betrokke besonderhede en maak geruis op sosiale media. Dit kan natuurlik nie misluk nie, reg?

Hacker is nie oortuig nie!

Dit is ‘n netjiese idee daar, maar kyk vanuit die perspektief van die hacker. Dit is geen maklike taak om na foute te gaan nie, want dit verg etlike jare opleiding, feitlik onbeperkte kennis van dinge wat oud en nuut is, baie vasberadenheid en meer kreatiwiteit as wat die meeste “visuele ontwerpers” het (jammer, kon dit nie weerstaan ​​nie!) P).

Die hacker weet nie wie jy is of is nie seker of jy sal betaal nie. Of miskien, is dit nie gemotiveerd nie. Gaste wat self aangebied word, werk vir jugnauts soos Google, Apple, Facebook, ens. Wie se name mense met trots op hul portefeulje kan sit. ‘Dit is ‘n belangrike kwessie van aanmelding in die HRMS-app wat deur XYZ Tech Systems ontwikkel is’, klink nou nie indrukwekkend nie (met die nodige verskoning vir enige onderneming wat hier kan lyk!)?

Daar is ook ander praktiese (en oorweldigende redes) om nie solo te gaan as dit kom by bug bounties nie.

Gebrek aan infrastruktuur

Die “hackers” waaroor ons gepraat het, is nie die wat die Dark Web agtervolg nie.

Hulle het geen tyd of geduld vir ons ‘beskaafde’ wêreld nie. In plaas daarvan praat ons hier van navorsers van ‘n rekenaarwetenskaplike agtergrond wat óf aan ‘n universiteit is of al lank ‘n geldjagter is. Hierdie mense wil inligting in ‘n spesifieke formaat indien, wat op sigself ‘n pyn is om aan gewoond te raak.

Selfs jou beste ontwikkelaars sal sukkel om tred te hou, en die geleentheidskoste kan te hoog wees.

Los voorleggings

Uiteindelik is daar die kwessie van bewys. Sagteware kan gebou wees op ten volle deterministiese reëls, maar presies wanneer daar aan ‘n spesifieke vereiste voldoen word, is daar debat. Laat ons ‘n voorbeeld neem om dit beter te verstaan.

Gestel jy het ‘n foutbonus geskep vir verifikasie- en magtigingsfoute. Dit wil sê, u beweer dat u stelsel vry is van die risiko’s van verpersoonliking, wat die hackers moet ondermyn.

Die hacker het nou ‘n swakheid gevind wat gebaseer is op die manier waarop ‘n spesifieke blaaier werk, wat hulle in staat stel om die sessie-token van ‘n gebruiker te steel en hulle te verpersoonlik..

Is dit ‘n geldige bevinding?

Uit die perspektief van die hacker is dit beslis ‘n oortreding. Vanuit u perspektief, miskien nie, want óf u dink dat dit binne die domein van die gebruiker se verantwoordelikheid val, of dat die blaaier eenvoudig nie ‘n bekommernis vir u teikenmark is nie.

As al hierdie drama op ‘n platform vir bug-bounty gebeur, sou daar in staat wees om arbiters te bepaal wat die impak van die ontdekking is en die kwessie uit te sluit.

Laat ons hiermee kyk na ‘n paar van die gewilde bugbeloningsplatforms daar buite.

Hackerone

Onder die bug bounty-programme, Hackerone is die leier as dit kom by toegang tot hackers, die opstel van u bonusprogramme, die verspreiding van die bydraes en die bydrae daarvan.

Daar is twee maniere waarop u Hackerone kan gebruik: gebruik die platform om kwesbaarheidsverslae te versamel en self uit te werk of laat die kundiges van Hackerone die harde werk doen (triaging). Triaging is eenvoudig die proses om kwesbaarheidsverslae saam te stel, dit te verifieer en met hackers te kommunikeer.

Hackerone word gebruik deur groot name soos Google Play, PayPal, GitHub, Starbucks en dies meer, natuurlik, is dit natuurlik vir diegene met ernstige foute en ernstige sakke. ��

Bugcrowd

Bugcrowd bied verskeie oplossings vir sekuriteitsbeoordelings, waarvan een Bug Bounty is. Dit bied ‘n SaaS-oplossing wat maklik in u bestaande lewenssiklus van sagteware kan integreer en dit ‘n blik is om ‘n suksesvolle bug bounty-program uit te voer.

U kan kies om ‘n privaat bug-bounty-program te hê wat ‘n paar hackers of ‘n publieke program insluit wat duisende mense bevat..

SafeHats

As u ‘n onderneming is en nie gemaklik voel om u program vir foute-bounty openbaar te maak nie – en terselfdertyd meer aandag benodig as wat ‘n tipiese bug-bounty-platform kan aanbied – SafeHats is jou veiligste weddenskap (vreeslike woordspeling, he?).

Toegewyde sekuriteitsadviseur, diepgaande hacker-profiele, slegs vir uitnodiging – alles word voorsien, afhangende van u behoeftes en volwassenheid van u veiligheidsmodel.

Intigriti

Intigriti is ‘n omvattende platform vir bug-bounty wat u met wit hoedhackers verbind, of u nou ‘n privaat program of ‘n openbare een wil bestuur.

Vir hackers is daar baie skatte te gryp. Afhangend van die maatskappy se grootte en industrie, is jagjagte wat wissel van € 1.000 tot € 20.000 beskikbaar.

Synack

Synack blyk een van die markuitsonderings te wees wat die vorm breek en uiteindelik iets massiefs doen. Hul sekuriteitsprogram Hack die Pentagon was die belangrikste hoogtepunt, wat gelei het tot die ontdekking van verskeie kritieke kwesbaarhede.

Dus as u nie net foutopsporing soek nie, maar ook veiligheidsvoorligting en -opleiding op die boonste vlak, Synack is die manier om te gaan.

Afsluiting

Net soos u wegbly van genesers wat “wonderkure genees”, moet u asseblief wegbly van enige webwerf of diens wat sê dat koeëlvaste sekuriteit moontlik is. Al wat ons kan doen, is om ‘n stap nader aan die ideaal te beweeg. As sodanig, moet daar nie van die bug bounty-programme verwag word om nul-bug-toepassings te produseer nie, maar dit moet gesien word as ‘n noodsaaklike strategie om die regtig nare programme uit te wis..

Kyk hierna goggas-kursus as u wil leer en die roem, belonings, waardering verwerf.

Ek hoop jy steek baie van hulle se foute in! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map