Video: Facebook Hacker Cup 2020 Qual' (2nd place) (November 2024)
Kaj dobite, ko v sobo postavite nekaj hekerjev in jim daste seznam ciljnih spletnih mest? Hodijo na hrošče!
To se je zgodilo na Bug Bash 2013, "internetno široko razpoloženem", ki ga je Bugcrowd vodil na konferenci AppSec USA v New Yorku v začetku tega tedna. V treh večerih je sodelovalo približno 80 ljudi, "stotine" pa so preko interneta na daljavo sodelovale, je dejal Casey John Ellis, ustanovitelj in izvršni direktor Bugcrowd. Udeleženci so poslali napake, ki so jih identificirali, Bugcrowd in ekipa je ponovila pogoje, ki so privedli do napake za potrditev težave.
Na seznamu ciljev so bila podjetja, kot so Facebook, Google, Etsy, Prezi in Yandex. Ellis je povedal, da so varnostni preizkuševalci, ki so sodelovali, ugotovili več kot 220 hroščev. V glavnem so se pojavljale težave, ki jih je mogoče uporabljati v svetu, vključno z nekaterimi ranljivostmi za vbrizgavanje in obvoz.
"Nisem še slišal za nobeno eksotično ranljivost, vendar še vedno analiziramo svoje podatke, " je dejal Ellis.
Bugcrowd načrtuje, da bo pozneje objavil več podrobnosti o vrsti odkritih hroščev in informacijah o dogodku. Zagon s sedežem v San Franciscu izvaja programe, v katerih skupine ljudi sodelujejo pri iskanju napak na spletnih straneh in v aplikacijah. Ko potrdi, da so napake, o katerih poročajo, zakonite, obravnava postopek obveščanja ustreznih prodajalcev.
Bunties Bunties
Programi za razpravljanje o napakah postajajo vedno bolj priljubljeni, saj podjetja spodbujajo raziskovalce, naj jim pošljejo poročila o napakah neposredno, namesto da bi jih prodali vladi ali ponudili v izkoriščanje posrednikom. Če kupca ne prijavite napake, pomeni, da lahko kupec te ranljivosti uporablja za lastne namene in uporabnike pusti nezaščitene pred to programsko napako.
Mozilla in Google imata verjetno najbolj znane programe za napake, vendar mnoga druga podjetja zdaj ponujajo nekakšen program (seznam je dolg, vendar ne popoln). Facebook je avgusta sporočil, da je v zadnjih dveh letih izplačal milijon dolarjev v obilju.
Niso vsi hrošči primerni za te programe. Facebook na primer jasno navaja, da njihov program zajema le vprašanja, ki bi lahko "ogrozila integriteto Facebook uporabniških podatkov, obšla zaščito zasebnosti podatkov uporabnikov Facebooka ali omogočila dostop do sistema znotraj Facebookove infrastrukture". Microsoft je pred kratkim predstavil vrsto nagrad in je bil zelo specifičen v vrsti težav, ki jih je iskal.
Bug Bash 2013
Na tej točki je težko oceniti, koliko so skupaj odkrite hrošče kot del Bug Bash-a, saj se programi napak na hrošče razlikujejo tako zelo, kolikor plačajo. Nekateri programi plačajo nekaj sto dolarjev, drugi pa nekaj tisoč dolarjev. Pomembno je tudi opozoriti, da ima vsako podjetje določena pravila o tem, kaj prepoznajo kot hrošče in katere vrste težav so zajete v programu za hrošče.
Čeprav je bilo poslanih 220 hroščev, se mora prodajalec odločiti, ali so bile težave kvalificirane za izplačilo. Tudi če je izplačilo, je odvisno tudi od prodajalca. Kljub temu, da je vsaka od 200+ hroščev vredna le nekaj sto dolarjev, to ni slabo za nekaj ur dela v treh dneh.
Predstavniki Facebooka so bili med dogodki celo na razpolago, da so dobili vpogled v svoje programe za hreščanje in odgovorili na vprašanja udeležencev.
Ljudje, ki so se na treningih učili različnih tehnik, so se ustavili, da bi sodelovali v skupinskem krampanju, je dejal Tom Brennan, član uprave fundacije OWASP in eden od organizatorjev za AppSec USA. Ljudje so med delom na ciljih sodelovali in drug drugega prosili za pomoč. Iskanje hroščev ni avtomatiziran postopek, saj dejansko od ljudi zahteva, da razmislijo o tem, kaj vidijo, in temu ustrezno prilagodijo svoje tehnike. Brennan je dejal, da je sodelovanje v okolju, kjer lahko ljudje odmetavajo ideje drug od drugega, "zelo učinkovito".