A Hack-a-thon 220 hibát talál a Facebookban, a Google-ban és az Etsy-ben

Mit kapsz, ha egy szobába helyezel néhány hackert, és megadod nekik a megcélzott webhelyek listáját? Bogárvadászni mennek!



Ez történt a Bug Bash 2013 rendezvényen, a Bugcrowd által a hét elején New Yorkban megrendezett AppSec USA konferencián. Körülbelül 80 ember vett részt három este alatt, és több százan vettek részt távolról az interneten keresztül – mondta Casey John Ellis, a Bugcrowd alapítója és vezérigazgatója. A résztvevők benyújtották az általuk azonosított hibákat a Bugcrowdnak, és a csapat megismételte a hibához vezető körülményeket a probléma megerősítése érdekében.

A célpontok között olyan cégek szerepeltek, mint a Facebook, a Google, az Etsy, a Prezi és a Yandex. A biztonsági tesztelők, akik részt vettek, több mint 220 hibát azonosítottak, mondta Ellis. A problémák többnyire a hétköznapi futási változatosságból fakadtak, beleértve néhány befecskendezési és bypass sebezhetőséget.





'Még nem hallottam semmilyen egzotikus sebezhetőségről, de még mindig elemezzük adatainkat' - mondta Ellis.

64gb lexar microsdxc memóriakártya

A Bugcrowd azt tervezi, hogy egy későbbi időpontban további részleteket ad ki a feltárt hibák típusáról és az eseménnyel kapcsolatos információkat. A San Francisco-i székhelyű startup olyan programokat futtat, ahol emberek csoportjai dolgoznak együtt, hogy hibákat keressenek a webhelyeken és alkalmazásokban. Miután megerősíti, hogy a jelentett hibák jogszerűek, kezeli a megfelelő szállítók értesítésének folyamatát.



Bug Bounties
A hibajavító programok egyre népszerűbbek, mivel a vállalatok arra ösztönzik a kutatókat, hogy ahelyett, hogy eladnák őket kormány vagy felajánlja nekik a brókerek kihasználását. A hiba bejelentésének elmulasztása azt jelenti, hogy a vevő saját céljaira használhatja ezeket a sebezhetőségeket, így a felhasználók védve maradnak ettől a szoftverhibától.

Valószínűleg a Mozilla és a Google rendelkezik a legismertebb bug bounty programokkal, de sok más cég is kínál most valamilyen programot ( egy hosszú, de nem teljes lista itt található ). A Facebook augusztusban jelentette be, hogy kifizette egymillió dollár jutalmat az elmúlt két évben.

hp elitebook 1030 x360 g4

Nem minden hiba felel meg ezeknek a programoknak. Például a Facebook világossá teszi, hogy programjuk csak olyan kérdésekre terjed ki, amelyek „veszélyezthetik a Facebook felhasználói adatok integritását, megkerülhetik a Facebook felhasználói adatok adatvédelmi védelmét, vagy lehetővé tehetik a Facebook infrastruktúráján belüli rendszerekhez való hozzáférést”. A Microsoft elindította a nyereménysorozat nemrégiben, és nagyon konkrét volt a keresett problémák tekintetében.

Bug Bash 2013
Jelenleg nehéz megbecsülni, hogy a Bug Bash részeként feltárt hibák összesen mennyit érnek, mivel a bug bounty programok nagyon eltérőek mennyit fizetnek . Egyes programok több száz dollárt, mások több ezer dollárt fizetnek. Fontos megjegyezni azt is, hogy minden vállalatnak sajátos szabályai vannak arra vonatkozóan, hogy mit ismernek fel programhibának, és milyen típusú problémákat fed le a bug-bounty program.

Annak ellenére, hogy 220 hibát küldtek be, a gyártó dönti el, hogy a problémák kifizetésre jogosultak-e. És még ha van is kifizetés, akkor is az eladó dönti el az összeget. Azonban még ha a több mint 200 hiba mindegyike csak néhány száz dollárt ér, az nem rossz néhány órányi munkáért három napon keresztül.

A Facebook képviselői még az események alatt is ott voltak, hogy betekintést nyújtsanak a bug bounty programjaikba, valamint válaszoljanak a résztvevők kérdéseire.

rca 37 sound bar felülvizsgálata

Azok az emberek, akik különböző technikákat tanultak edzéseken, beugrottak, hogy részt vegyenek a csoportos hackelésben – mondta Tom Brennan, az OWASP Alapítvány igazgatótanácsának tagja és az AppSec USA egyik szervezője. Az emberek együttműködtek, miközben a célokon dolgoztak, és segítséget kértek egymástól. A hibák keresése nem automatizált folyamat, mivel valóban megköveteli az emberektől, hogy átgondolják, mit látnak, és ennek megfelelően módosítsák technikáikat. Brennan szerint „nagyon hatékony” lehet egy olyan együttműködési környezet, amelyben az emberek ötleteiket kiválthatják egymásról.

Ajánlott