srcmini本文概述
只有黑客才能像黑客一样思考。因此, 当涉及”防黑客”时, 你可能需要求助于黑客。
应用程序安全性一直是一个热门话题, 并且随着时间的流逝越来越热门。
即使我们拥有大量防御工具和实践(防火墙, SSL, 非对称加密等), 也没有基于Web的应用程序可以声称它的安全性超出了黑客的能力。
这是为什么?
原因很简单, 即构建软件仍然是一个非常复杂且脆弱的过程。开发人员仍在使用内部的错误(已知和未知), 并且随着新软件和库的发布, 正在创建新的错误。甚至顶级科技公司也为偶尔的尴尬做好了准备, 这是有充分理由的。
正在招聘 。 。 。骇客!
鉴于错误和漏洞可能永远不会离开软件领域, 那么企业该依靠什么生存软件呢?例如, 一个新的钱包应用程序如何确保它能够抵御黑客的讨厌尝试?
是的, 你现在已经猜到了:通过雇用黑客来破解这个新创建的应用程序!他们为什么呢?只是因为提供了足够多的赏金-Bug赏金! ????
如果”赏金”一词带回了人们对荒野西部的回忆, 而子弹却没有被抛弃, 这就是这里的想法。你会以某种方式让最精英和知识渊博的黑客(安全专家)完善你的应用程序, 如果他们发现了一些东西, 他们就会得到回报。
有两种解决方法:1)自行托管漏洞赏金; 2)使用漏洞赏金平台。
Bug赏金:自托管与平台
当你只需自己托管一个漏洞悬赏平台时, 为什么还要麻烦选择(并支付)漏洞悬赏平台。我的意思是, 只创建一个包含相关详细信息的页面, 并在社交媒体上发出一些声音。它显然不能失败, 对吗?
黑客不服气!
好吧, 那是个好主意, 但是请从黑客的角度来看。争夺bug并非易事, 因为它需要数年的培训, 对新旧事物的了解几乎是无限的, 决心无比, 并且比大多数”视觉设计师”拥有更多的创造力(抱歉, 无法抗拒!!: -P)。
黑客不知道你是谁, 或者不确定你要付款。或者, 也许是没有动力。自托管赏金适用于Google, Apple, Facebook等主宰者, 人们可以为自己的名字感到自豪。 “在XYZ Tech Systems开发的HRMS应用程序中发现一个严重的登录漏洞”听起来并不令人印象深刻(对任何可能与此名称相似的公司表示歉意吗?)?
然后, 还有其他一些实际的(且压倒性的原因)在漏洞悬赏方面不独处。
缺乏基础设施
我们一直在谈论的”黑客”不是跟踪黑暗网络的人。
那些人对我们的”文明”世界没有时间或耐心。相反, 我们在这里谈论的是来自计算机科学领域的研究人员, 这些研究人员要么在大学, 要么长期从事赏金猎人。这些人希望以特定的格式提交信息, 这对他们来说很难适应。
即使是你最好的开发人员也将难以跟上, 机会成本可能会太高。
解决提交
最后, 还有证明的问题。软件可能是基于完全确定性的规则构建的, 但是究竟何时满足特定要求尚有待商debate。让我们举个例子来更好地理解这一点。
假设你为身份验证和授权错误创建了漏洞赏金。也就是说, 你声称你的系统没有冒充冒充黑客冒犯的假冒风险。
现在, 黑客已经根据特定浏览器的工作方式发现了一个弱点, 该弱点使他们能够窃取用户的会话令牌并模拟他们。
这是一个有效的发现吗?
从黑客的角度来看, 肯定是因为违规就是违规。从你的角度来看, 也许不是, 因为你认为这属于用户的责任范围, 或者浏览器根本就不是目标市场的关注点。
如果所有这些戏都发生在漏洞赏金平台上, 那么有能力的仲裁员可以决定发现的影响并解决问题。
话虽如此, 让我们来看一些流行的漏洞赏金平台。
Hackerone
在漏洞赏金计划中, Hackerone在访问黑客, 创建赏金计划, 传播信息和评估贡献方面是领导者。
使用Hackerone的方法有两种:使用平台收集漏洞报告并自己编制, 或者让Hackerone的专家来做艰苦的工作(分类)。简单地进行分类就是编译漏洞报告, 对其进行验证并与黑客进行通信的过程。
像Google Play, PayPal, GitHub, Starbucks之类的知名人士都使用Hackerone, 因此, 它当然适用于那些漏洞严重, 口袋严重的人。 ????
Bugcrowd
Bugcrowd提供了几种用于安全评估的解决方案, 其中一个就是Bug Bounty。它提供了一个SaaS解决方案, 可以轻松地集成到你现有的软件生命周期中, 并且可以轻松地运行成功的漏洞赏金计划。
你可以选择拥有一个私人Bug赏金计划, 该计划涉及选定的少数黑客或将数以千计的众包公之于众。
SafeHats
如果你是一家企业, 并且不愿意公开你的Bug赏金计划-同时需要比典型的Bug赏金平台所提供的更多关注-SafeHats是你最安全的选择(双关语, 呵呵?) 。
专用的安全顾问, 深入的黑客个人资料, 仅受邀参与–所有这些都取决于你的需求和安全模型的成熟度。
Intigriti
Intigriti是一个综合性的漏洞赏金平台, 无论你要运行私有程序还是公共程序, 都可以将你与白帽黑客联系起来。
对于黑客来说, 有很多诱人之处。根据公司的规模和行业的不同, 可以找到从1, 000欧元到20, 000欧元不等的漏洞。
Synack
Synack似乎是打破常规并最终做大量事情的市场例外之一。他们的安全程序”黑客五角大楼”是主要亮点, 导致发现了几个关键漏洞。
因此, 如果你不仅在寻找错误发现, 而且在顶层寻求安全指导和培训, 那么Synack就是你的最佳选择。
总结
正如你远离宣称”奇迹疗法”的治疗师一样, 请远离任何可能提供防弹安全性的网站或服务。我们所能做的就是向理想靠近一步。因此, 漏洞赏金计划不应产生零漏洞应用程序, 而应被视为淘汰真正令人讨厌的程序的基本策略。
如果想学习并获得成名, 奖励和赞赏, 请查看此Bug赏金狩猎课程。
希望你能解决许多错误! ????
评论前必须登录!
注册