Только хакер может думать как хакер. Итак, когда дело доходит до защиты от хакеров, вам, возможно, придется обратиться к хакеру.
Безопасность приложений всегда была горячей темой, которая со временем только становилась все более актуальной.
Даже имея в нашем распоряжении множество защитных инструментов и методов (брандмауэры, SSL, асимметричная криптография и т. д.), ни одно веб-приложение не может утверждать, что оно защищено от хакеров.
Почему это?
Простая причина в том, что создание программного обеспечения остается очень сложным и хрупким процессом. В используемом разработчиками фундаменте все еще есть ошибки (известные и неизвестные), а новые создаются с запуском нового программного обеспечения и библиотек. Даже технологические компании высшего уровня готовы время от времени смущаться, и на то есть веская причина.
Оглавление
Приглашаем на работу . . . Хакеры!
Учитывая, что ошибки и уязвимости, вероятно, никогда не покинут сферу программного обеспечения, что остается компаниям, зависящим от этого программного обеспечения, чтобы выжить? Как, например, новое приложение-кошелек может быть уверено, что оно устоит перед неприятными попытками хакеров?
Да, вы уже догадались: наняв хакеров, чтобы они взломали это новое приложение! А зачем им? Просто потому, что предлагается достаточно большая награда — награда за жуков! 🙂
Если слово «баунти» навевает воспоминания о Диком Западе и пулях, стреляющих безотказно, идея здесь именно в этом. Каким-то образом вы привлекаете самых элитных и знающих хакеров (экспертов по безопасности) для проверки вашего приложения, и если они что-то находят, они получают вознаграждение.
Есть два способа сделать это: 1) организовать вознаграждение за обнаружение ошибок самостоятельно; 2) с помощью платформы Bug Bounty.
Bug Bounty: собственный хостинг против платформ
Зачем вам утруждать себя выбором (и оплатой) платформы для поиска ошибок, когда вы можете просто разместить ее самостоятельно. Я имею в виду, просто создайте страницу с соответствующими деталями и наведите шум в социальных сетях. Очевидно, что это не может потерпеть неудачу, верно?
Хакер не убежден!
Что ж, это отличная идея, но посмотрите на нее с точки зрения хакера. Борьба с ошибками — непростая задача, поскольку она требует нескольких лет обучения, практически безграничных знаний о старых и новых вещах, огромной решимости и большего творчества, чем у большинства «визуальных дизайнеров» (извините, я не мог устоять перед этим! :-П).
Хакер не знает, кто вы, или не уверен, что вы заплатите. Или, может быть, не мотивирован. Самостоятельные вознаграждения работают для гигантов, таких как Google, Apple, Facebook и т. д., чьи имена люди могут с гордостью помещать в свое портфолио. «Обнаружена критическая уязвимость входа в приложение HRMS, разработанное XYZ Tech Systems» звучит уже не впечатляюще, не так ли (приносим извинения любой компании, которая может напоминать это имя!)?
Кроме того, есть и другие практические (и неопровержимые) причины, по которым не следует действовать в одиночку, когда дело доходит до вознаграждения за обнаружение ошибок.
Отсутствие инфраструктуры
«Хакеры», о которых мы говорили, — это не те, кто бродит по Даркнету.
У тех нет ни времени, ни терпения на наш «цивилизованный» мир. Вместо этого мы говорим здесь об исследователях из области компьютерных наук, которые либо учатся в университете, либо долгое время были охотниками за головами. Эти люди хотят и предоставляют информацию в определенном формате, к которому сложно привыкнуть.
Даже вашим лучшим разработчикам будет сложно идти в ногу со временем, а альтернативные издержки могут оказаться слишком высокими.
Разрешение представлений
Наконец, есть проблема доказательства. Программное обеспечение может быть построено на полностью детерминированных правилах, но вопрос о том, когда именно выполняется конкретное требование, является предметом споров. Давайте возьмем пример, чтобы понять это лучше.
Предположим, вы создали вознаграждение за ошибки аутентификации и авторизации. То есть вы утверждаете, что ваша система свободна от рисков олицетворения, которые хакерам приходится ниспровергать.
Теперь хакер обнаружил уязвимость, основанную на том, как работает конкретный браузер, что позволяет им украсть токен сеанса пользователя и выдать себя за него.
Это верный вывод?
С точки зрения хакера, взлом определенно есть взлом. С вашей точки зрения, возможно, нет, потому что либо вы думаете, что это входит в сферу ответственности пользователя, либо этот браузер просто не касается вашего целевого рынка.
Если бы вся эта драма происходила на платформе Bug Bounty, были бы способные арбитры, чтобы решить влияние открытия и закрыть проблему.
С учетом сказанного, давайте посмотрим на некоторые из популярных платформ по поиску ошибок.
YesWeHack
YesWeHack — это глобальная платформа для поиска ошибок, которая предлагает раскрытие информации об уязвимостях и краудсорсинговую безопасность во многих странах, таких как Франция, Германия, Швейцария и Сингапур. Это революционное решение Bug Bounty для борьбы с угрозами, возрастающими с ростом гибкости бизнеса, когда традиционные инструменты больше не оправдывают ожиданий.
YesWeHack позволяет вам получить доступ к виртуальному пулу этичных хакеров и максимально использовать возможности тестирования. Выберите охотников, которых вы хотите, и отправьте области для тестирования или поделитесь ими с сообществом YesWeHack. Он следует некоторым строгим правилам и стандартам для защиты интересов охотников, а также ваших интересов.
Повысьте безопасность своего приложения, используя скорость отклика охотника, и сократите время до исправления и обнаружения уязвимостей. Вы сможете увидеть разницу после запуска программы.
Открытая награда за обнаружение ошибок
Вы переплачиваете за программы вознаграждения за ошибки?
Пытаться Открытая награда за обнаружение ошибок для тестирования безопасности толпы.
Это управляемая сообществом, открытая, бесплатная платформа для поиска ошибок без посредников. Кроме того, он предлагает ответственное и скоординированное раскрытие уязвимостей, совместимое с ISO 29147. На сегодняшний день он помог исправить более 641 тыс. уязвимостей.
Исследователи безопасности и специалисты из ведущих сайтов, таких как WikiHow, Twitter, Verizon, IKEA, MIT, Университет Беркли, Philips, Yamaha и других, использовали платформу Open Bug Bounty для решения своих проблем безопасности, таких как XSS-уязвимости, SQL-инъекции и т. д. Вы можете найти высококвалифицированных и отзывчивых специалистов, которые сделают вашу работу быстро.
Хакероне
Среди программ вознаграждения за обнаружение ошибок Хакероне является лидером, когда речь идет о доступе к хакерам, создании ваших программ вознаграждений, распространении информации и оценке вкладов.
Вы можете использовать Hackerone двумя способами: использовать платформу для сбора отчетов об уязвимостях и самостоятельно их обрабатывать или поручить экспертам Hackerone выполнить тяжелую работу (сортировку). Просто сортировка — это процесс составления отчетов об уязвимостях, их проверки и общения с хакерами.
Hackerone используется такими громкими именами, как Google Play, PayPal, GitHub, Starbucks и т. д., поэтому, конечно, это для тех, у кого серьезные ошибки и серьезные карманы. 😉
Багкрауд
Багкрауд предлагает несколько решений для оценки безопасности, одним из которых является Bug Bounty. Он предоставляет решение SaaS, которое легко интегрируется в ваш существующий жизненный цикл программного обеспечения и позволяет легко запустить успешную программу вознаграждения за обнаружение ошибок.
Вы можете выбрать частную программу вознаграждения за обнаружение ошибок, в которой участвуют несколько избранных хакеров, или общедоступную программу, в которой участвуют тысячи людей.
СейфХэтс
Если вы представляете предприятие и не хотите обнародовать свою программу вознаграждения за обнаружение ошибок, и в то же время вам требуется больше внимания, чем может предложить обычная платформа вознаграждения за обнаружение ошибок, — СейфХэтс ваша самая безопасная ставка (ужасный каламбур, да?).
Выделенный советник по безопасности, подробные профили хакеров, участие только по приглашению — все это предоставляется в зависимости от ваших потребностей и зрелости вашей модели безопасности.
Интигрити
Интигрити — это комплексная платформа для поиска ошибок, которая связывает вас с белыми хакерами, независимо от того, хотите ли вы запустить частную или общедоступную программу.
Для хакеров есть много награды Хватать. В зависимости от размера компании и отрасли, поиск ошибок может стоить от 1000 до 20 000 евро.
Синак
Synack, кажется, является одним из тех рыночных исключений, которые ломают шаблон и в конечном итоге делают что-то масштабное. Их программа безопасности Взломать Пентагон стала главным событием, приведшим к обнаружению нескольких критических уязвимостей.
Поэтому, если вы ищете не только обнаружение ошибок, но и руководство по безопасности и обучение на высшем уровне, Синак это путь.
Вывод
Так же, как вы держитесь подальше от целителей, которые провозглашают «чудесные лекарства», держитесь подальше от любого веб-сайта или службы, которые говорят, что возможна пуленепробиваемая безопасность. Все, что мы можем сделать, это приблизиться на один шаг к идеалу. Таким образом, не следует ожидать, что программы поощрения ошибок будут создавать приложения без ошибок, но их следует рассматривать как важную стратегию отсеивания действительно неприятных приложений.
Проверьте это курс по поиску жуков учиться и получать славу, награды и признательность.
Узнайте о крупнейших программах вознаграждения за обнаружение ошибок в мире.
Надеюсь, вы раздавите многих из них ошибок! 🙂