Відео: Facebook Hacker Cup 2020 Qual' (2nd place) (Вересень 2024)
Що ви отримуєте, коли поміщаєте хакерів у кімнату та надаєте їм список цільових веб-сайтів? Вони йдуть на полювання на клопів!
Саме це сталося на Bug Bash 2013, "широкомасштабному інтернет-хаку", який провів Bugcrowd на конференції AppSec USA в Нью-Йорку на початку цього тижня. Приблизно 80 людей брали участь протягом трьох вечорів, а "сотні" брали участь дистанційно через Інтернет, заявив Кейсі Джон Елліс, засновник і генеральний директор компанії Bugcrowd. Учасники подали помилки, які вони визначили, Bugcrowd, і команда повторила умови, що спричинили помилку для підтвердження проблеми.
У список цілей увійшли такі компанії, як Facebook, Google, Etsy, Prezi та Yandex. Тестери безпеки, які взяли участь, виявили понад 220 помилок, сказав Елліс. Здебільшого питання стосувались мирського різноманіття, що працює на заводі, включаючи деякі вразливості щодо вприскування та обходу.
"Я ще не чув про якісь екзотичні вразливості, але ми все ще аналізуємо наші дані", - сказала Елліс.
Bugcrowd планує оприлюднити більш детальну інформацію про тип виявлених помилок та інформацію про подію пізніше. Запуск на базі Сан-Франциско запускає програми, де групи людей працюють разом, щоб знайти помилки на веб-сайтах і в додатках. Як тільки він підтвердить, що про помилки, про які повідомляються, є законними, він обробляє процес сповіщення відповідних постачальників.
Бугет-баунті
Програми з помилками набувають все більшої популярності, оскільки компанії заохочують дослідників подавати їм звіти про помилки, замість того, щоб продавати їх уряду чи пропонувати їх експлуатувати брокерам. Якщо не повідомляти про помилку постачальнику, це означає, що покупець може використовувати ці вразливості для власних цілей і залишає користувачів незахищеними від цієї вади програмного забезпечення.
У Mozilla та Google, мабуть, є найвідоміші програми з виправлення помилок, але багато інших компаній зараз пропонують якусь програму (довгий, але не повний список тут). У серпні Facebook оголосив, що за останні два роки він виплатив мільйон доларів у приємності.
Не всі помилки підпадають під ці програми. Наприклад, Facebook дає зрозуміти, що їх програма охоплює лише ті питання, які "могли б порушити цілісність даних користувачів Facebook, обійти захист конфіденційності даних користувачів Facebook або дозволити доступ до системи в межах інфраструктури Facebook". Нещодавно Microsoft випустила низку призів і була дуже специфічною в тому, який питання шукав.
Bug Bash 2013
На даний момент важко підрахувати, скільки коштують помилки, виявлені у складі програми Bug Bash, оскільки програми набору помилок варіюються настільки сильно, скільки вони платять. Деякі програми платять кілька сотень доларів, а інші - кілька тисяч доларів. Важливо також зазначити, що в кожній компанії є специфічні правила щодо того, що вони визнають помилкою та які типи проблем охоплюються програмою виграшних помилок.
Незважаючи на те, що було надіслано 220 помилок, вирішити, чи відповідають питанням виплати, вирішує питання. І навіть якщо виплата є, вирішити суму також залежить від продавця. Однак, навіть якщо кожен з 200+ помилок коштує всього кілька сотень доларів, це не погано за кілька годин роботи протягом трьох днів.
Представники Facebook навіть були під рукою під час подій, щоб давати уявлення про їхні програми з виправлення помилок, а також відповідати на запитання учасників.
Люди, які навчалися на навчальних заняттях, вивчаючи різні методики, зупинялися, щоб взяти участь у груповому злому, сказав Том Бренан, член правління фонду OWASP та один з організаторів AppSec США. Люди співпрацювали під час роботи над цілями та просили допомоги один у одного. Пошук помилок не є автоматизованим процесом, оскільки він дійсно вимагає від людей задуматися про те, що вони бачать, і відповідно підлаштовувати свої методи. Середовище спільної роботи, де люди можуть відкидати ідеї один від одного, може бути "дуже ефективним" для полювання на помилок, сказав Бренан.
