Топ-5 платформ Bounty для організацій для підвищення безпеки додатків

Тільки хакер може думати, як хакер. Отже, коли мова заходить про те, щоб стати “хакерським”, вам може знадобитися звернутися до хакера.


Безпека програм завжди була гарячою темою, яка з часом тільки нагрівалася.

Навіть маючи в своєму розпорядженні безліч оборонних інструментів і практик (брандмауери, SSL, асиметрична криптографія тощо), жодна веб-програма не може стверджувати, що вона захищена поза досяжністю хакерів.

Чому так?

Проста причина полягає в тому, що створення програмного забезпечення залишається дуже складним і крихким процесом. Все ще є помилки (відомі і невідомі) всередині розробників фонду, і нові створюються із запуском нового програмного забезпечення та бібліотек. Навіть високотехнологічні компанії, готові до випадкових збентежень, є вагомою причиною.

Зараз наймаємо. . . Хакери!

Зважаючи на те, що помилки та вразливості, ймовірно, ніколи не залишать сферу програмного забезпечення, де він залишає компанії залежними від цього програмного забезпечення для свого виживання? Як, наприклад, новий додаток для гаманця може бути впевнений, що він буде протистояти неприємним спробам хакерів?

Так, ви вже здогадалися про це: найнявши хакерів, щоб вони прийшли і зламали цей нещодавно доданий додаток! А навіщо їм? Просто тому, що пропонується досить велика нагорода – помилка! ��

Якщо слово “щедрота” повертає спогади про Дикий Захід і про відстрілювання кулі без відмови, то саме тут ідея. Ви якимось чином отримуєте найелітніших і знаючих хакерів (експертів з безпеки), щоб озвучити ваш додаток, і якщо вони щось знайдуть, вони отримують винагороду.

Існує два способи вирішити це: 1) влаштування хостингу за помилок самостійно; 2) за допомогою платформи за помилки.

Bug Bounty: власні хостинг та платформи

Чому б вам не підходити з вибором (і оплатою) платформи з виграшною помилкою, коли ви можете просто розмістити її самостійно. Я маю на увазі, просто створіть сторінку з відповідними подробицями і шуміть в соціальних мережах. Це, очевидно, не може провалитися, правда?

Хакер не переконаний!

Ну, це ідеальна ідея саме там, але погляньте на це з точки зору хакера. Зустрітися з помилками – непросте завдання, оскільки воно вимагає декількох років навчання, практично необмеженого знання старих і нових речей, тонн рішучості та більшої творчості, ніж у більшості “візуальних дизайнерів” (вибачте, не втримався від цього! -П).

Хакер не знає, хто ви є, або не впевнений, що платите. А може, не мотивований. Самостійно влаштовані баунті працюють на джунгернати, такі як Google, Apple, Facebook тощо, імена яких люди можуть з гордістю ставити на свій портфель. “Виявлена ​​критична вразливість до входу в додаток HRMS, розроблений компанією XYZ Tech Systems”, зараз не здається вражаючою (чи належне вибачення будь-якій компанії там, яка може нагадувати це ім’я!)?

Тоді є й інші практичні (і переважні причини) для того, щоб не брати участь у соло, якщо мова заходить про помилки.

Відсутність інфраструктури

“Хакери”, про які ми говорили, – це не ті, хто переслідує Темну павутину.

У них немає часу і терпіння для нашого “цивілізованого” світу. Натомість ми говоримо тут про дослідників з інформатики, які або в університеті, або давно були мисливцями за головами. Ці люди хочуть і подають інформацію у певному форматі, що є самим болем, щоб звикнути.

Навіть ваші найкращі розробники будуть намагатися йти в ногу, і можлива вартість може виявитися занадто високою.

Вирішення подань

Нарешті, є питання доказування. Програмне забезпечення може бути побудовано за повністю детермінованими правилами, але саме тоді, коли виконується певна вимога, готується до дискусій. Візьмемо приклад, щоб краще зрозуміти це.

Припустимо, ви створили помилку для помилок аутентифікації та авторизації. Тобто ти стверджуєш, що твоя система вільна від ризику видавання себе за себе, який хакерам доводиться підривати.

Тепер хакер знайшов слабкість залежно від того, як працює певний веб-переглядач, який дозволяє їм викрадати маркер сеансу користувача та видати себе за себе..

Це правдива знахідка?

З точки зору хакера, безумовно, як порушення – це порушення. З вашого погляду, можливо, ні, тому що або ви думаєте, що це потрапляє в область відповідальності користувача, або цей веб-переглядач просто не турбує ваш цільовий ринок.

Якби вся ця драма відбувалася на платформі з помилками, не було б спроможних арбітрів вирішити вплив відкриття та закрити проблему..

З огляду на це, давайте подивимося на деякі популярні платформи для помилок.

Хекрон

Серед програм виграшних помилок, Хекрон є лідером, коли йдеться про доступ до хакерів, створення ваших програм за програмою, розповсюдження слова та оцінку внеску.

За допомогою Hackerone можна скористатися двома способами: використовувати платформу для збору звітів про вразливості та опрацювати їх самостійно або дозволити експертам Hackerone робити важку роботу (триагінг). Виправлення просто – це процес складання звітів про вразливість, їх перевірки та спілкування з хакерами.

Hackerone використовується великими іменами, такими як Google Play, PayPal, GitHub, Starbucks тощо, тому, звичайно, це для тих, хто має серйозні помилки та серйозні кишені. ��

Помилка

Помилка пропонує кілька рішень для оцінки безпеки, одне з них – Bug Bounty. Він пропонує рішення SaaS, яке легко інтегрується у існуючий життєвий цикл програмного забезпечення та робить його швидким запусканням успішної програми з виправлення помилок.

Ви можете вибрати приватну програму, яка включає декілька хакерів, або загальнодоступний, який переповнює тисячі.

SafeHats

Якщо ви є підприємством і не відчуваєте себе комфортно, щоб ваша програма виграшних помилок стала загальнодоступною – і в той же час вам потрібно більше уваги, ніж може запропонувати типова платформа для помилок – SafeHats ваша найбезпечніша ставка (страшна каламбур, так?).

Виділений радник із безпеки, поглиблені профілі хакерів, участь лише у запрошеннях – все це надається залежно від ваших потреб та зрілості вашої моделі безпеки.

Інтігріті

Інтігріті – це всеосяжна платформа для помилок, яка з’єднує вас з хакерами з білого капелюха, незалежно від того, хочете ви запускати приватну програму чи публічну програму.

Для хакерів є багато щедроти щоб захопити. Залежно від розміру та галузі компанії, полювання на помилок становить від 1000 до 20 000 євро.

Синак

Здається, Synack є одним з тих ринкових винятків, які руйнують форму і в кінцевому підсумку роблять щось масове. Їх програма безпеки Зламати Пентагон стала головною родзинкою, що призвела до виявлення кількох критичних вразливих місць.

Тож якщо ви шукаєте не лише виявлення помилок, а й вказівки щодо безпеки та навчання на найвищому рівні, Синак це шлях.

Висновок

Так само, як ви тримаєтесь подалі від цілителів, які проголошують “чудодійні засоби”, будь ласка, тримайтеся подалі від будь-якого веб-сайту чи служби, де говориться, що можлива безпека від куль. Все, що ми можемо зробити – це зробити крок ближче до ідеалу. Таким чином, не варто сподіватися, що програми з помилками створюватимуть додатки з нульовою помилкою, але їх слід розглядати як важливу стратегію у відмиванні дійсно неприємних програм.

Перевірте це Курс полювання на баггів якщо хочеш навчитися та здобути зал слави, нагород, вдячності.

Я сподіваюсь, що ви стискаєте багато помилок! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map