5 سیستم عامل برتر برنامه های ارتقاء اشکال برای سازمان ها برای بهبود امنیت برنامه

فقط یک هکر می تواند مانند یک هکر فکر کند. بنابراین ، هنگامی که نوبت به “اثبات هکرها” تبدیل شد ، ممکن است لازم باشد که به یک هکر متوسل شوید.


امنیت برنامه همیشه موضوعی داغ بوده است که با گذشت زمان فقط داغ تر شده است.

حتی با وجود انبوهی از ابزارهای دفاعی و تمرین در اختیار ما (فایروال ها ، SSL ، رمزنگاری نامتقارن و غیره) ، هیچ برنامه مبتنی بر وب نمی تواند ادعا کند که این امنیت فراتر از دسترس هکرها است.

چرا؟?

دلیل ساده این است که نرم افزار ساختمان یک فرآیند بسیار پیچیده و شکننده باقی مانده است. هنوز هم اشکالات (شناخته شده و ناشناخته) در داخل توسعه دهندگان پایه وجود دارد و با راه اندازی نرم افزار و کتابخانه های جدید ، موارد جدیدی ایجاد می شوند. حتی شرکتهای برتر سطح فناوری نیز برای خجالت گاه و بیگاه آماده هستند و دلیل خوبی هم دارد.

استخدام فوری . . . هکرها!

با توجه به اینکه اشکالات و آسیب پذیری ها احتمالاً هرگز قلمرو نرم افزار را رها نخواهند کرد ، کجا می تواند مشاغل را برای بقای خود به این نرم افزار وابسته کند؟ چگونه می توان به عنوان مثال یک برنامه کیف پول جدید اطمینان داد که در برابر تلاش های ناخوشایند هکرها ایستادگی خواهد کرد?

بله ، شما آن را تا الان حدس زده اید: با استخدام هکرها برای آمدن و گرفتن برنامه برای این برنامه تازه فاسد شده! و چرا آنها؟ فقط به این دلیل که یک مزایای بزرگ به اندازه کافی وجود دارد – فایده اشکال! ��

اگر کلمه “فضل” خاطرات غرب وحشی و گلوله های بدون شلیک را به شما بازگرداند ، این دقیقاً همان ایده در اینجاست. شما به نوعی بدترین و دانشترین هکرها (کارشناسان امنیتی) را برای صدور برنامه شما دریافت می کنید و در صورت یافتن چیزی ، پاداش می گیرند.

دو راه برای حل آن وجود دارد: 1) میزبانی یک لوح اشکال به تنهایی. 2) با استفاده از یک سکوی bugy bug.

اشکال Bounty: سیستم عامل خود در مقابل سیستم عامل

چرا می توانید هنگامی که می توانید به سادگی خود را میزبان آن باشید ، به مشکل انتخاب (و پرداخت) یک سکوی bounty bugy بپردازید. منظورم این است که فقط یک صفحه با جزئیات مربوطه ایجاد کرده و در رسانه های اجتماعی سر و صدایی ایجاد کنید. به طور واضح نمی تواند شکست بخورد?

هکر قانع نیست!

خوب ، این یک ایده شسته و رفته در همان جا است ، اما از دید هکر به آن نگاه کنید. شایع کردن اشکالات کار ساده ای نیست ، زیرا به چندین سال آموزش نیاز دارد ، دانش تقریبا بی حد و حصر از چیزهای قدیمی و جدید ، تعداد قاطعیت و خلاقیت بیشتر از آنچه بیشتر طراحان تصویری دارند (متأسفیم ، نتوانست در برابر آن مقاومت کند!) -پ).

هکر نمی داند شما چه کسی هستید یا مطمئن نیستید که پرداخت می کنید. یا شاید ، انگیزه ای ندارد. هدایای خود میزبان برای کارگزاران نظیر گوگل ، اپل ، فیس بوک و غیره کار می کنند که افراد نام آنها می توانند با غرور در سبد خود قرار دهند. “یک آسیب پذیری ورود به سیستم مهم در برنامه HRMS ایجاد شده توسط XYZ Tech Systems” در حال حاضر چنین چشمگیر به نظر نمی رسد (با عذر خواهی از هر شرکتی در آنجا که ممکن است شبیه به این نام باشد!)?

سپس دلایل عملی دیگری (و دلهره آور) برای عدم اجرای انفرادی هنگام صحبت از نعمت های اشکال وجود دارد.

کمبود زیرساخت ها

“هکرها” که ما در مورد آنها صحبت کرده ایم ، کسانی نیستند که وب تاریک را تحت الشعاع قرار می دهند.

آنها هیچ وقت و شکیبایی برای دنیای “متمدن” ما ندارند. درعوض ، ما در اینجا در مورد محققان با سابقه علوم رایانه صحبت می کنیم که یا در یک دانشگاه هستند یا مدتهاست که شکارچی فضل هستند. این افراد می خواهند و اطلاعات را با فرمت خاصی ارسال می کنند ، که به خودی خود دردناک است.

حتی بهترین توسعه دهندگان شما برای ادامه کار تلاش می کنند و ممکن است هزینه فرصت خیلی زیاد شود.

حل و فصل ارسال ها

سرانجام ، مسئله اثبات وجود دارد. ممکن است این نرم افزار براساس قوانین کاملاً قطعی ساخته شود ، اما دقیقاً چه زمانی یک مورد خاص برآورده می شود تا بحث شود. بیایید مثالی بزنیم تا این موضوع را بهتر درک کنیم.

فرض کنید شما برای خطاهای تأیید اعتبار و مجوز ، یک مزیت اشکال ایجاد کرده اید. یعنی شما ادعا می کنید که سیستم شما عاری از خطرات جعل هویت است که هکرها مجبور به واژگون کردن آن هستند.

اکنون ، هکر مبتنی بر نحوه کار یک مرورگر خاص ، ضعفی پیدا کرده است که به آنها امکان می دهد نشانه جلسه کاربر را بدزدند و جعل هویت آنها را انجام دهند.

آیا این یک یافته معتبر است?

از منظر هکر ، قطعاً ، چون نقض یک نقض است. از منظر شما ، شاید اینطور نباشد ، زیرا یا فکر می کنید این مسئله در حوزه مسئولیت کاربر قرار می گیرد ، یا آن مرورگر صرفاً دغدغه بازار هدف شما نیست.

اگر همه این درام در یک سکوی بزرگوار رخ می داد ، داوران قادر به تصمیم گیری درباره تأثیر کشف و بستن موضوع خواهند بود.

با این گفته ، بیایید نگاهی به برخی از سیستم عامل های محبوب bugy bugy در آنجا بیاندازیم.

هکرون

در میان برنامه های bugy bug, هکرون رهبر هنگام دسترسی به هکرها ، ایجاد برنامه های فضل خود ، پخش کلمه و ارزیابی سهم رهبری است.

دو روش وجود دارد که می توانید از هکرون استفاده کنید: از این بستر برای جمع آوری گزارش های آسیب پذیری استفاده کنید و آنها را خودتان کار کنید یا بگذارید متخصصان Hackerone کار سختی را انجام دهند. Triaging به سادگی فرایند تهیه گزارش های آسیب پذیری ، تأیید آنها و برقراری ارتباط با هکرها است.

Hackerone توسط نامهای بزرگی مانند Google Play ، PayPal ، GitHub ، Starbucks و مواردی از این دست استفاده می شود ، بنابراین مطمئناً برای کسانی است که اشکالات شدید و جیب های جدی دارند. ��

Bugcrowd

Bugcrowd چندین راه حل برای ارزیابی های امنیتی ارائه می دهد که یکی از آنها Bug Bounty است. این یک راه حل SaaS فراهم می کند که به راحتی در چرخه حیات نرم افزار موجود شما ادغام می شود و اجرای برنامه موفقیت آمیز اشکال را با مشکل مواجه می کند..

می توانید یک برنامه فضل خصوصی را انتخاب کنید که شامل تعداد کمی از هکرها یا برنامه عمومی باشد که به هزاران نفر جمعیت می رسد.

SafeHats

اگر یک شرکت اقتصادی هستید و احساس راحتی نمی کنید که برنامه نذر اشکال خود را علنی کنید – و در عین حال به توجه بیشتری نیاز دارید که توسط یک پلت فرم معمولی نعمت اشکال ارائه می شود – SafeHats امن ترین شرط شماست (قضیه وحشتناک ، ها؟).

مشاور امنیتی اختصاصی ، نمایه های هکر عمیق ، مشارکت فقط دعوت شده – بسته به نیاز و بلوغ الگوی امنیتی شما ، همه این موارد ارائه شده است.

Intigriti

Intigriti یک پلتفرم جامع نعمت اشکال است که شما را با هکرهای کلاه سفید متصل می کند ، خواه بخواهید یک برنامه خصوصی را اجرا کنید یا یک برنامه عمومی.

برای هکرها ، موارد زیادی وجود دارد نعمت ها برای گرفتن. بسته به اندازه و صنعت شرکت ، شکار اشکال از 1000 تا 20،000 یورو در دسترس است.

سیناک

به نظر می رسد سیناک یکی از آن استثنائات بازار است که قالب را می شکند و در نهایت به انجام کارهای گسترده می پردازد. برنامه امنیتی آنها پنتاگون را هک کنید برجسته مهم ، منجر به کشف چندین آسیب پذیری مهم بود.

بنابراین اگر شما نه تنها به دنبال کشف اشکالات هستید بلکه به دنبال راهنمایی و آموزش امنیتی در سطح برتر نیز هستید, سیناک راه رفتن است.

نتیجه

درست همانطور که از شفای دهنده هایی که “علاج معجزه آسایی” دارند دوری می کنید ، لطفا از هر وب سایت یا خدمتی که می گوید امنیت ضد گلوله امکان پذیر است ، خودداری کنید. تنها کاری که می توانیم بکنیم این است که یک قدم به سمت ایده آل حرکت کنیم. به این ترتیب ، نباید انتظار داشت که برنامه های bugy bug برنامه های صفر اشکال تولید کنند بلکه باید به عنوان یک استراتژی اساسی در رها کردن برنامه های واقعاً زشت مورد استفاده قرار گیرند..

اینو ببین دوره شکار اشکالات اگر به دنبال یادگیری و کسب تالار مشاهیر ، پاداش ، تقدیر هستید.

امیدوارم بسیاری از اشکالات را خرد کنید! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map