Video: Game Development in JavaScript by Prateek Narang | HackOn Hackathon (Oktober 2024)
Hvad får du, når du lægger nogle hackere i et rum og giver dem en liste over målwebsteder? De går på bugjagt!
Det var, hvad der skete på Bug Bash 2013, et "internet-bredt hack-a-thon" kørt af Bugcrowd på AppSec USA-konferencen i New York tidligere i denne uge. Cirka 80 mennesker deltog i løbet af tre aftener, og "hundreder" deltog fjernt over Internettet, sagde Casey John Ellis, grundlægger og administrerende direktør for Bugcrowd. Deltagerne indsendte fejlene, de identificerede til Bugcrowd, og teamet gentog betingelserne, der førte til fejlen for at bekræfte problemet.
Listen over mål inkluderede virksomheder som Facebook, Google, Etsy, Prezi og Yandex. Ellis sagde de sikkerhedstestere, der deltog, over 220 fejl. For det meste var emnerne af den jordiske run-of-the-møllesort, inklusive nogle indsprøjtnings- og bypass-sårbarheder.
”Jeg har endnu ikke hørt om nogen eksotiske sårbarheder, men vi analyserer stadig vores data, ” sagde Ellis.
Bugcrowd planlægger at frigive flere detaljer om den type afdækkede bugs og information om begivenheden på et senere tidspunkt. Den San Francisco-baserede opstart kører programmer, hvor grupper af mennesker arbejder sammen for at finde fejl på websteder og applikationer. Når det bekræfter, at fejlene, der rapporteres, er legitime, håndterer det processen med at underrette passende leverandører.
Bug-beløb
Bug-bounty-programmer bliver stadig mere populære, da virksomheder opfordrer forskere til at indsende fejlrapporter til dem direkte i stedet for at sælge dem til regeringen eller tilbyde dem at udnytte mæglere. At ikke rapportere fejlen til sælgeren betyder, at køber kan bruge disse sårbarheder til deres egne formål og efterlader brugere ubeskyttet mod den softwarefejl.
Mozilla og Google har sandsynligvis de bedst kendte bug-bounty-programmer, men mange andre virksomheder tilbyder nu en slags program (en lang, men ikke komplet liste er her). Facebook meddelte i august, at de havde udbetalt en million dollars i vederlag i løbet af de sidste to år.
Ikke alle fejl kvalificerer sig til disse programmer. For eksempel gør Facebook det klart, at deres program kun dækker problemer, der kunne "kunne kompromittere integriteten af Facebook-brugerdata, omgå privatlivsbeskyttelsen af Facebook-brugerdata eller muliggøre adgang til et system inden for Facebook-infrastrukturen." Microsoft lancerede for nylig en række præmier og var meget specifik i den type emner, den ledte efter.
Bug Bash 2013
Det er svært at estimere på dette tidspunkt, hvor meget bugs, der er afdækket som en del af Bug Bash, er værd i alt, da bugbounty-programmer varierer så vidt, hvor meget de betaler. Nogle programmer betaler flere hundrede dollars, og andre betaler flere tusinde dollars. Det er også vigtigt at bemærke, at hvert selskab har specifikke regler for, hvad de genkender som en fejl, og hvilke typer problemer, der er dækket under bugbelønningsprogrammet.
Selvom der blev indsendt 220 fejl, er det op til sælgeren at beslutte, om emnerne er kvalificerede til en udbetaling. Og selvom der er en udbetaling, er det også op til sælgeren at bestemme beløbet. Selv hvis hver eneste af de 200 + bugs kun er værd et par hundrede dollars, er det ikke dårligt for et par timers arbejde over tre dage.
Facebook-repræsentanter var endda til stede under begivenhederne for at give indsigt i deres bug-bounty-programmer såvel som for at besvare spørgsmål fra deltagerne.
Mennesker, der havde været i træningssessioner med at lære om forskellige teknikker, var forbi for at deltage i gruppehacket, sagde Tom Brennan, et bestyrelsesmedlem for OWASP Foundation og en af arrangørerne af AppSec USA. Folk samarbejdede, mens de arbejdede på mål og bad om hjælp fra hinanden. At finde bugs er ikke en automatiseret proces, da det virkelig kræver, at folk tænker over, hvad de ser, og justerer deres teknikker i overensstemmelse hermed. Et samarbejdsmiljø, hvor mennesker kan sprænge ideer fra hinanden, kan være "meget effektive" til bugjagt, sagde Brennan.
