Video: Etsy Facebook Ads | New Etsy Ads Alternative | Nancy Badillo (Oktober 2024)
Hva får du når du legger noen hackere i et rom og gir dem en liste over målnettsteder? De går på bugjakt!
Det var det som skjedde på Bug Bash 2013, et "internett-bredt hack-a-thon" som ble drevet av Bugcrowd på AppSec USA-konferansen i New York tidligere denne uken. Omtrent 80 personer deltok i løpet av tre kvelder, og "hundrevis" deltok eksternt over Internett, sier Casey John Ellis, grunnlegger og administrerende direktør i Bugcrowd. Deltakerne sendte feilene de identifiserte til Bugcrowd, og teamet repliserte forholdene som førte til feilen for å bekrefte problemet.
Listen over mål inkluderte selskaper som Facebook, Google, Etsy, Prezi og Yandex. Sikkerhetstesterne som deltok identifiserte over 220 feil, sa Ellis. For det meste var problemene av det verdslige bruksområdet, inkludert noen injeksjons- og bypass-sårbarheter.
"Jeg har ikke hørt om noen eksotiske sårbarheter ennå, men vi analyserer fortsatt dataene våre, " sa Ellis.
Bugcrowd planlegger å gi ut flere detaljer om typen feil som er avdekket og informasjon om hendelsen på et senere tidspunkt. Den San Francisco-baserte oppstarten kjører programmer der grupper av mennesker jobber sammen for å finne feil på nettsteder og applikasjoner. Når den bekrefter at feilene som rapporteres er legitime, håndterer den prosessen med å varsle aktuelle leverandører.
Bug Bounties
Bounty-programmene blir stadig mer populære, ettersom selskaper oppfordrer forskere til å sende inn feilrapporter til dem direkte, i stedet for å selge dem til regjeringen eller tilby dem å utnytte meglere. Å ikke rapportere feilen til leverandøren betyr at kjøperen kan bruke disse sikkerhetsproblemene til sitt eget formål og etterlater brukere ubeskyttet mot den programvarefeilen.
Mozilla og Google har sannsynligvis de mest kjente programmene for bug-bounty, men mange andre selskaper tilbyr nå et slags program (en lang, men ikke komplett liste er her). Facebook kunngjorde i august at de hadde utbetalt en million dollar i fordeler de siste to årene.
Ikke alle bugs kvalifiserer for disse programmene. For eksempel gjør Facebook det klart at programmet bare dekker spørsmål som kan "kunne kompromittere integriteten til Facebook-brukerdata, omgå personvernsbeskyttelsen til Facebook-brukerdata eller aktivere tilgang til et system innen Facebook-infrastrukturen." Microsoft lanserte en serie priser nylig og var veldig spesifikk i den type problemer den lette etter.
Bug Bash 2013
Det er vanskelig å estimere på dette tidspunktet hvor mye feilene som er avdekket som en del av Bug Bash er verdt totalt, siden bug-dusørprogrammer varierer så vidt hvor mye de betaler. Noen programmer betaler flere hundre dollar og andre betaler flere tusen dollar. Det er også viktig å merke seg at hvert selskap har spesifikke regler for hva de gjenkjenner som en feil, og hvilke typer problemer som dekkes under feilpremieringsprogrammet.
Selv om det ble sendt inn 220 feil, er det opp til leverandøren å avgjøre om problemene kvalifiserer for utbetaling. Og selv om det er utbetaling, er det også opp til leverandøren å bestemme beløpet. Selv om hver eneste av de 200 + feilene bare er verdt noen hundre dollar, er det ikke verst for noen timers arbeid over tre dager.
Facebook-representanter var til og med på hånden under arrangementene for å gi innsikt i bug-dusørprogrammene sine, samt for å svare på spørsmål fra deltakerne.
Folk som hadde vært på treningsøkter for å lære om forskjellige teknikker, var innom for å ta del i gruppehakket, sa Tom Brennan, styremedlem for OWASP Foundation og en av arrangørene for AppSec USA. Folk samarbeidet mens de jobbet med mål og ba om hjelp fra hverandre. Å finne feil er ikke en automatisert prosess, da det virkelig krever at folk tenker over hva de ser og justerer teknikkene deres deretter. Et samarbeidsmiljø der folk kan sprette ideer fra hverandre kan være "veldig effektive" for bug-jakt, sa Brennan.
