Видео: Facebook Hacker Cup 2020 Qual' (2nd place) (Октября 2024)
Что вы получаете, когда кладете несколько хакеров в комнату и даете им список целевых сайтов? Они охотятся на жуков!
Именно это и произошло на Bug Bash 2013, «взломе Интернета», организованном Bugcrowd на конференции AppSec USA в Нью-Йорке в начале этой недели. Около 80 человек приняли участие в течение трех вечеров, а «сотни» приняли участие удаленно через Интернет, сказал Кейси Джон Эллис, основатель и генеральный директор Bugcrowd. Участники сообщили об ошибках, которые они идентифицировали, в Bugcrowd, и команда повторила условия, приведшие к ошибке, чтобы подтвердить проблему.
В список целей вошли такие компании, как Facebook, Google, Etsy, Prezi и Yandex. По словам Эллис, специалисты по безопасности, принявшие участие, выявили более 220 ошибок. По большей части, проблемы касались обыденного разнообразия, включая некоторые уязвимости, связанные с инъекцией и обходом.
«Я еще не слышал о каких-либо экзотических уязвимостях, но мы все еще анализируем наши данные», - сказал Эллис.
Bugcrowd планирует выпустить более подробную информацию о типе обнаруженных ошибок и информацию о событии позже. Запуск в Сан-Франциско запускает программы, в которых группы людей работают вместе, чтобы находить ошибки на веб-сайтах и в приложениях. Как только он подтверждает, что сообщаемые ошибки являются законными, он обрабатывает процесс уведомления соответствующих поставщиков.
Ошибка Баунти
Программы вознаграждения за ошибки становятся все более популярными, поскольку компании поощряют исследователей представлять отчеты об ошибках непосредственно им, вместо того, чтобы продавать их правительству или предлагать им использовать брокеров. Отсутствие сообщения об ошибке поставщику означает, что покупатель может использовать эти уязвимости в своих целях и оставляет пользователей незащищенными от этого недостатка программного обеспечения.
Mozilla и Google, вероятно, имеют самые известные программы баунти-багов, но многие другие компании сейчас предлагают какую-то программу (длинный, но не полный, список здесь). Facebook объявил в августе, что он выплатил миллион долларов за последние два года.
Не все ошибки подходят для этих программ. Например, Facebook ясно дает понять, что их программа охватывает только вопросы, которые могут «поставить под угрозу целостность пользовательских данных Facebook, обойти защиту конфиденциальности пользовательских данных Facebook или разрешить доступ к системе в инфраструктуре Facebook». Microsoft недавно выпустила серию призов и была очень конкретна в вопросах, которые она искала.
Bug Bash 2013
На данный момент трудно оценить, сколько стоят в целом ошибки, обнаруженные в рамках Bug Bash, поскольку программы, предоставляющие вознаграждение за ошибки, очень сильно различаются в зависимости от того, сколько они платят. Некоторые программы платят несколько сотен долларов, а другие - несколько тысяч долларов. Также важно отметить, что у каждой компании есть определенные правила относительно того, что они признают ошибкой, и какие типы проблем рассматриваются в программе баунти-багов.
Несмотря на то, что было отправлено 220 ошибок, поставщик должен решить, соответствуют ли проблемы выплате. И даже если выплата выплачивается, продавец также должен определить сумму. Однако, даже если каждый из 200+ жуков стоит всего несколько сотен долларов, это неплохо для нескольких часов работы в течение трех дней.
Представители Facebook были даже под рукой во время мероприятий, чтобы дать представление о своих программах баунти-багов, а также ответить на вопросы участников.
По словам Тома Бреннана, члена совета директоров OWASP Foundation и одного из организаторов AppSec USA, Том Бреннан, член совета директоров, изучавший различные техники, останавливался. Люди сотрудничали, работая над целями и прося помощи друг у друга. Поиск ошибок не является автоматическим процессом, поскольку он действительно требует от людей задуматься о том, что они видят, и соответствующим образом скорректировать свои методы. По словам Бреннана, среда сотрудничества, где люди могут обмениваться идеями друг с другом, может быть «очень эффективной» для поиска ошибок.
