视频: i paid $30 for a hacked minecraft mouse... (十一月 2024)
当您将一些黑客放在一个房间并给他们提供目标网站列表时,您会得到什么? 他们去找虫子!
这就是在Bug Bash 2013上发生的事情,Bugcrowd在本周早些时候在纽约举行的AppSec USA大会上运行了“ Internet范围的黑客攻击”。 Bugcrowd的创始人兼首席执行官Casey John Ellis说,在三个晚上的过程中,大约有80人参加,“数百人”通过Internet进行了远程参与。 参与者将他们确定的错误提交给Bugcrowd,然后团队复制了导致错误的条件以确认问题。
目标对象包括Facebook,Google,Etsy,Prezi和Yandex等公司。 Ellis说,参与其中的安全测试人员发现了220多个错误。 在大多数情况下,问题出在平凡的运行中,其中包括一些注入和旁路漏洞。
埃利斯说:“到目前为止,我还没有听说过任何外来漏洞,但我们仍在分析我们的数据。”
Bugcrowd计划在以后发布有关发现的bug类型的更多详细信息以及有关事件的信息。 这家位于旧金山的初创公司运行一些程序,在这些程序中,一群人一起工作以查找网站和应用程序中的错误。 一旦确认所报告的错误是合法的,它将处理通知适当的供应商的过程。
错误赏金
随着公司鼓励研究人员直接向他们提交错误报告,而不是将其出售给政府或提供给利用经纪人的漏洞,赏金计划越来越受欢迎。 不将错误报告给供应商意味着购买者可以将这些漏洞用于自己的目的,并且使用户免受该软件漏洞的影响。
Mozilla和Google可能拥有最著名的Bug赏金计划,但是现在许多其他公司都提供了某种程序(此处列出了很长但还不完整的程序)。 Facebook在八月份宣布,它在过去两年中支付了100万美元的赏金。
并非所有的bug都适用于这些程序。 例如,Facebook明确表示其计划仅涵盖可能“损害Facebook用户数据的完整性,规避Facebook用户数据的隐私保护或允许访问Facebook基础结构中的系统”的问题。 微软最近推出了一系列奖项,并且在所寻找的问题上非常具体。
Bug Bash 2013
到目前为止,很难估计作为Bug Bash一部分发现的bug的总价值,因为bug赏金计划的差异很大。 有些程序要花几百美元,而另一些程序要几千美元。 还需要注意的是,每家公司都有关于其被识别为错误以及错误赏金计划涵盖哪些类型问题的特定规则。
即使提交了220个错误,还是由供应商决定问题是否符合付款条件。 即使有付款,也要由供应商来决定金额。 但是,即使200多个错误中的每个错误仅值几百美元,对于三天的几个小时的工作来说也不错。
活动期间,Facebook代表甚至在场,以提供有关其漏洞赏金计划的见解,并回答参与者的问题。
OWASP Foundation的董事会成员,AppSec USA的组织者之一汤姆·布伦南(Tom Brennan)表示,参加过培训课程以学习各种技术的人们正在拦路抢劫。 人们在努力达成目标并互相寻求帮助时正在合作。 查找错误不是一个自动化的过程,因为它确实需要人们思考自己所看到的内容并相应地调整其技术。 布伦南说,一个可以使人们相互交流想法的协作环境对于寻找错误“非常有效”。
