بزرگترین پلت فرم پاداش اشکالات در جهان را بسازید


با گذشت سالها ، یافتن اشکال در نرم افزارهای محبوب ، برنامه ها و سرویس های آنلاین برای هکرهای کارآفرین به اقدامی بسیار پردرآمد تبدیل شده است. در واقع ، برخی از این هکرها و محققان امنیتی به لطف حتی میلیونر شده اند برنامه های خطا. علاوه بر جمع آوری پول برای شناسایی آسیب پذیری ها ، کار آنها به برخی از بزرگترین شرکتهای جهان کمک می کند تا امنیت محصولات خود را افزایش دهند تا از مشتریان خود بهتر محافظت کنند.

پلت فرم پاداش اشکالات HackerOne به ارتباط این شرکت ها با هکرهای اخلاقی در سراسر جهان کمک می کند. برای کسب اطلاعات بیشتر در مورد نحوه راه اندازی شرکت و اشتباهات مختلفی که طی سالهای گذشته توسط انجمن آن کشف شده است ، TechRadar Pro با HackerOne CTO الکس رایس صحبت می کند.

(اعتبار تصویر: MSNBC)

چه چیزی منجر به ایجاد HackerOne در سال 2012 شد؟

سازمانها در هر شکل و اندازه ای از حفاظت هکرها استفاده می کنند ، اما این همیشه راه نیست.

قبل از HackerOne ، من رئیس امنیت محصول در فیس بوک بودم. یکی از م effectiveثرترین کارهایی که ما انجام دادیم این بود که به هکرهای آنجا بگوییم: “ما از شما کمک می خواهیم. یک اشکال پیدا کنید ، یک آسیب پذیری پیدا کنید ، به ما اطلاع دهید و ما به شما پاداش می دهیم.” پرداخت این برنامه بیش از 10 میلیون دلار و بهبود امنیت محصول بیش از آنچه کسی تصور می کرد ادامه داشت.

سریع به امروز منتقل شوید و HackerOne موفق ترین پلتفرم امنیتی است که توسط هکرها در جهان طراحی شده است. بیش از 2000 سازمان برای کشف بیش از 181،000+ آسیب پذیری اثبات شده با انجمن هک همکاری می کنند. بیش از 100 میلیون دلار به این هکرها پاداش داده اند تا اینترنت را به مکانی امن تبدیل کنند.

تجربه شما به عنوان یک مهندس و پژوهشگر امنیتی چه تاثیری بر کاری که امروز به عنوان CTO HackerOne انجام می دهید تأثیر داشته است؟

در HackerOne ، من مسئول توسعه چشم انداز فناوری ، تحریک تلاش های مهندسی و مشاوره به مشتریان هنگام ساخت برنامه های امنیتی در سطح جهانی هستم. من بیش از هر چیز این اعتقاد را دارم که فناوری می تواند زندگی ما را برای بهتر شدن بهبود بخشد. اما چالش های اصلی امنیت و حفظ حریم خصوصی اغلب مانع آن می شود. ما به فناوری قابل اعتماد نیاز داریم و تجربه من به عنوان یک محقق من به من آموخته است که هرگز تنها به آنجا نخواهیم رسید. ما به میلیون ها نفر نیاز داریم تا با هم کار کنیم ، درس های آموخته شده را به اشتراک بگذاریم و هر یک از ما را به سمت پیشرفت بهتر سوق دهیم.

فکر می کنید بستر شما چه تاثیری در نحوه شناسایی و گزارش آسیب پذیری ها داشته است؟

در HackerOne ، ما با جامعه جهانی هک همکاری می کنیم تا اطمینان حاصل کنیم که سازمان ها از همه مسائل امنیتی قبل از سو by استفاده توسط مجرمان مطلع هستند. خلاقیت ، تنوع و پشتکار باورنکردنی که در این جامعه منحصر به فرد پیدا می کنید ، اطمینان از امنیت سازمانها نسبت به آنچه در خود هستند ، و همچنین امنیت افراد وابسته به آنها را تضمین می کند.

همچنین برنامه ها و گزینه های مختلفی در دسترس مشتریان است که اطمینان می دهند در صورت نیاز از بهترین پشتیبانی ممکن برخوردار می شوند. این مهم است که شرکت ها نه تنها بدانند که خطرات کجاست ، بلکه آسیب پذیری ها را می توان مدیریت و رفع کرد. HackerOne مشتریان می توانند از بین راه حل های مختلف ، از آزمایش تا پاداش اشکال عمومی و خصوصی و از همه مهمتر ، برنامه های شناسایی آسیب پذیری یکی را انتخاب کنند.

برنامه نویسی

(اعتبار تصویر: Shutterstock / Gorodenkoff)

آیا می توانید اطلاعات بیشتری در مورد بانک اطلاعاتی آسیب پذیری شرکت خود و نحوه ردیابی اشکال ارسال شده توسط محققان امنیتی در اختیار ما قرار دهید؟

ما بزرگترین و معتبرترین پایگاه داده آسیب پذیری در صنعت را نگهداری می کنیم و برنامه پاداش جامعه هکرهای ما را ترغیب می کند تا گزارشات آسیب پذیری را برای همه موارد از وب سایت ها ، API ها ، برنامه های تلفن همراه ، دستگاه های سخت افزاری و مجموعه ای از متنوع و غنی از آسیب پذیری ها شناسایی و ارسال کنند. سطوح حمله

از نظر نحوه نظارت ، فرایند روشنی وجود دارد که هکرهای ما آن را دنبال می کنند. پس از ثبت نام در یک حساب HackerOne ، می توانند یک برنامه شرکت کننده را جستجو کرده و شروع به هک کنند. در صورت مشاهده آسیب پذیری ، از فهرست HackerOne برای یافتن بهترین راه ارتباط با سازمان و گزارش استفاده می کنند. سپس شرکت محتوا را بررسی کرده و به یافته های معتبر پاداش می دهد.

از میان ده نوع آسیب پذیر آسیب پذیر و دارای پاداش در گزارش جدید HackerOne ، کدام یک از آنها بزرگترین تهدید برای سازمان های امروز محسوب می شوید و چرا؟

آسیب پذیری در اسکریپت های بین سایت ها (XSS). این دومین سال پیاپی است که آنها در لیست ما هستند ، زیرا همچنان تهدید بزرگی برای برنامه های وب هستند و 18٪ از تمام آسیب پذیری های گزارش شده را تشکیل می دهند. مهاجمان از حملات XSS استفاده می کنند و کنترل حساب کاربر را بدست می آورند تا اطلاعات شخصی مانند رمزهای عبور ، شماره حساب بانکی ، اطلاعات کارت اعتباری و غیره را بدزدند. مشتریان ما بیش از 4.2 میلیون دلار در کل جوایز اعطا کرده اند که 26 درصد بیشتر از سال 2019 است.

آسیب پذیری های رایج مانند XSS اغلب توسط CISO برطرف می شود ، که دوست دارد “تهدید روز” را دنبال کند ، اما هکرها دائما به ما نشان می دهند که این بهترین شیوه های نادیده گرفته شده همچنان یکی از موثرترین راه ها برای به خطر انداختن داده های شخصی است.

کدام نوع آسیب پذیری بیشتر مورد توجه است؟

در حال حاضر ، من می خواهم ببینم که آسیب پذیری های SSRF (Server Side Request Forgery) که با شروع انتقال ابر در حال افزایش هستند ، چه اتفاقی می افتد. از لحاظ تاریخی ، خطاهای SSRF کاملاً خوب بودند و فقط امکان اسکن شبکه داخلی و گاهی دسترسی به پانل های مدیریت داخلی را داشتند. اما در این دوره از تحول سریع دیجیتال ، ظهور معماری ابر و نقاط انتهایی فوق محافظت نشده ، این آسیب پذیری ها را به طور فزاینده ای مهم تر کرده است.

دو نفری که روی لپ تاپ کار می کنند

(اعتبار تصویر: Pexels)

به مشاغلی که می خواهد برای اولین بار برنامه خطا را اجرا کند چه توصیه ای می کنید؟

خزیدن ، راه رفتن ، دویدن. کسب و کار شما لازم نیست ابتدا به درون سر شما بپرد. مشاغل می توانند تعداد هکرهای درگیر در یک برنامه خصوصی را محدود کنند. از این فرصت برای شروع به صورت کنترل شده استفاده کنید تا مطمئن شوید که شما یک سیاست مشخص دارید ، توانایی موثر در تحلیل و تحلیل ریشه ها را دارید و با سرعت قابل قبولی برای تیم های توسعه خود ادامه می دهید. سریع دویدن اغلب زانوی شما را تکان می دهد و سرمایه گذاری لازم را در اقدامات ایمنی اساسی به تأخیر می اندازد.

چگونه شرکت ها باید با سو m استفاده از ارزش پولی برای کشف یک خطای خاص برخورد کنند؟

برای مبتدیان ، یک اشتباه خاص را پرداخت نکنید. با a شروع کنید برنامه تشخیص آسیب پذیری که به سادگی فرآیندی را برای به دست آوردن آسیب پذیری از جستجوی خارجی بدون قول پاداش مالی ایجاد می کند.

از آنجا ، با یک برنامه خصوصی کوچک در برخی از سطوح سخت تر برای حمله شروع کنید. تیم ما می تواند با شما همکاری کند تا سطح حمله انتخابی شما را با داده های مرجع ما برای سازمان های مشابه مقایسه کند تا توجه اولیه را از جامعه جلب کند ، قبل از اینکه پاداش ها هنگام سخت شدن سطح حمله افزایش یابد.

ارزش پولی معمولاً به میزان خطای آن بستگی دارد ، هرچه آسیب پذیری جدی تر باشد ، پاداش آن نیز بیشتر می شود. در آخرین 2020 ما گزارش حفاظت از هکرها، متوجه شدیم که میانگین پاداش برای همه آسیب پذیری های هر نوع شدت 979 دلار است.


منبع: subtitle-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>