Топ 5 платформи Боунти платформе за организације за побољшање сигурности апликација

Само хакер може размишљати попут хакера. Дакле, када је ријеч о томе да постанете “хакерски отпорни”, можда ћете се морати окренути хакеру.


Сигурност апликација је одувијек била врућа тема која се временом само постаје врућа.

Чак и са хордом одбрамбених алата и праксе која су нам на располагању (фиревалл, ССЛ, асиметрична криптографија итд.), Ниједна веб апликација не може тврдити да је сигурна изван досега хакера.

Зашто је то?

Једноставан разлог је тај што је израда софтвера и даље веома сложен и крхки процес. И даље постоје грешке (познате и непознате) унутар програмера фондације, а нови се стварају лансирањем новог софтвера и библиотека. Чак су и врхунске технолошке компаније спремне за повремене неприлике и добар разлог.

Сада се запошљавам. . . Хакери!

С обзиром да грешке и рањивости вероватно никада неће напустити софтверско царство, где то оставља компаније зависне од овог софтвера за њихов опстанак? Како, на пример, нова апликација за новчаник може бити сигурна да ће се супротставити гадним покушајима хакера?

Да, погодили сте то до сада: ангажовањем хакера да дођу и крећу по новој кованој апликацији! А зашто би то урадили? Само зато што постоји довољно велика улога – штета! ��

Ако реч “богатство” враћа сећања на Дивљи запад и метаке који се испаљују без напуштања, то је тачно овде идеја. Некако најелитније најелитније и хакери (сигурносни стручњаци) да звуче вашу апликацију, а ако нешто пронађу, биће награђени.

Постоје два начина да се то реши: 1) самостално угоштавање бугова; 2) коришћењем бунт боунти платформе.

Буг Боунти: Селф-хостинг вс. платформ

Зашто бисте се потрудили да одаберете (и платите) платформу за обраду грешака када је можете једноставно угостити сами. Мислим, само направите страницу са релевантним детаљима и направите неку буку на друштвеним медијима. Очигледно не може да пропадне, зар не?

Хакер није увјерен!

Па, то је тамо уредна идеја, али гледај на то из перспективе хакера. Јостлинг због грешака није лак задатак, јер захтева неколико година обуке, практично неограничено знање о стварима старим и новим, тона одлучности и више креативности него што већина “визуелних дизајнера” ​​има (извините, томе нису могли одољети!: -П).

Хакер не зна ко сте или није сигуран да ћете платити. Или можда није мотивисан Власници који се налазе у домаћинству раде за џунглере као што су Гоогле, Аппле, Фацебоок, итд., Чија имена људи са поносом могу уврстити у свој портфељ. „Пронађена је критична рањивост за пријаву у ХРМС апликацији коју је развио КСИЗ Тецх Системс“, сада не звучи импресивно, зар не (уз дужно извињење било којој компанији која би могла да подсећа на ово име!)?

Затим постоје други практични (и неодољиви разлози) за то што не идете соло када је у питању бунт обиља.

Недостатак инфраструктуре

“Хакери” о којима смо разговарали нису они који затичу у Дарк Вебу.

Они немају времена ни стрпљења за наш „цивилизовани“ свет. Уместо тога, овде говоримо о истраживачима из рачунарских наука који су или на универзитету или су дуго времена били ловци на укућане. Ови људи желе и шаљу информације у одређеном формату, што је само по себи бол на који се навикавају.

Чак ће се и ваши најбољи програмери борити да остану у току, а пригодни трошак може се показати превисоким.

Решавање поднесака

Коначно, постоји питање доказа. Софтвер је можда изграђен на основу потпуно детерминираних правила, али тачно када се испуњава одређени услов, предстоји расправа. Узмимо пример да бисмо то боље разумели.

Претпоставимо да сте направили обрачун грешака за грешке у аутентификацији и ауторизацији. Односно, тврдите да је ваш систем ослобођен ризика лажног представљања, који хакери морају да поткопе.

Сада је хакер пронашао слабост која се заснива на начину на који одређени прегледач функционише, што им омогућава да украду корисникову сеанску ознаку и да им се лажно представе..

Да ли је то тачан налаз?

Из перспективе хакера, дефинитивно је кршење прекршај. Из ваше перспективе, можда и не, јер или мислите да то спада у домен одговорности корисника, или да прегледач једноставно не представља бригу за ваше циљно тржиште.

Да се ​​сва ова драма догађала на платформи за обраду грешака, не би били способни арбитри да одлуче о утицају открића и да преокрену проблем.

С тим речима, погледајмо неке од популарних платформи за обраду грешака.

Хацкероне

Међу програмима за стварање бугова, Хацкероне је лидер када је у питању приступ хакерима, креирање програма за боунти, ширење речи и процена доприноса.

Постоје два начина на која можете користити Хацкероне: користите платформу за прикупљање извештаја о рањивости и сами их израдите или пустите стручњаке из Хацкероне-а да раде тежак посао (триагинг). Једноставно испитивање је процес састављања извештаја о рањивости, верификације истих и комуникације са хакерима.

Хацкероне користе велика имена попут Гоогле Плаи, ПаиПал, ГитХуб, Старбуцкс и слично, тако да је наравно за оне који имају озбиљне грешке и озбиљне џепове. ��

Бугцровд

Бугцровд нуди неколико решења за процену безбедности, а једно од њих је Буг Боунти. Омогућава СааС решење које се лако интегрише у ваш постојећи животни циклус софтвера и олакшава покретање успешног програма за обраду грешака.

Можете да изаберете приватни програм за обраду грешака који укључује неколико хакера или јавни који садржи стотине хиљада.

СафеХатс

Ако сте предузеће и немате осећај угодности да јавно објавите свој програм за бугове – а истовремено вам је потребно више пажње него што то може понудити типична бунт баоунт платформа – СафеХатс је ваша најсигурнија опклада (ужасна казна, ха?).

Посебни саветник за безбедност, детаљни хакерски профили, учешће само за позив – све је обезбеђено у зависности од ваших потреба и зрелости вашег сигурносног модела.

Интигрити

Интигрити је свеобухватна буг боунти платформа која вас повезује са хакерима са белим шеширом, без обзира да ли желите да покренете приватни програм или јавни.

За хакере има доста тога боунтиес да зграбите. У зависности од величине и индустрије компаније, доступни су лови на бубе који се крећу у распону од 1.000 до 20.000 евра.

Синацк

Чини се да је Синацк један од оних тржишних изузетака који разбијају плијесан и на крају раде нешто масовно. Њихов безбедносни програм Хацк Пентагон био главни нагласак, који је довео до открића неколико критичних рањивости.

Дакле, ако тражите не само откривање грешака, већ и безбедносне смернице и обуку на највишем нивоу, Синацк је пут којим треба ићи.

Закључак

Баш док се држите подаље од исцелитеља који проглашавају „чудесним лековима“, будите удаљени од било које веб странице или службе која каже да је безбедна заштита од метака. Све што можемо је да се помакнемо корак ближе идеалу. Као такви, програми за обраду грешака не треба очекивати да производе апликације са нула-грешкама, већ их треба схватити као суштинску стратегију у уклањању заиста гадних програма.

Погледајте ово курс за проналазак буната ако желите да научите и стекнете халу славе, награде, уважавања.

Надам се да ћете појести многе бубе! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map