Rumah Jam keamanan Hack-a-thon menemukan 220 bug di facebook, google, etsy

Hack-a-thon menemukan 220 bug di facebook, google, etsy

Video: Facebook Hacker Cup 2020 Qual' (2nd place) (Desember 2024)

Video: Facebook Hacker Cup 2020 Qual' (2nd place) (Desember 2024)
Anonim

Apa yang Anda dapatkan ketika Anda menempatkan beberapa peretas di sebuah ruangan dan memberi mereka daftar situs web target? Mereka pergi berburu serangga!

Itulah yang terjadi di Bug Bash 2013, "hack-a-thon" internet-wide yang dijalankan oleh Bugcrowd pada konferensi AppSec USA di New York awal pekan ini. Sekitar 80 orang berpartisipasi selama tiga malam, dan "ratusan" berpartisipasi dari jarak jauh melalui Internet, kata Casey John Ellis, pendiri dan CEO Bugcrowd. Peserta mengirimkan bug yang mereka identifikasi ke Bugcrowd, dan tim mereplikasi kondisi yang mengarah ke kesalahan untuk mengkonfirmasi masalah.

Daftar target termasuk perusahaan seperti Facebook, Google, Etsy, Prezi, dan Yandex. Penguji keamanan yang ikut mengidentifikasi lebih dari 220 bug, kata Ellis. Untuk sebagian besar, masalah adalah dari run-of-the-mill varietas biasa, termasuk beberapa kerentanan injeksi dan memotong.

"Saya belum pernah mendengar tentang kerentanan eksotis, tetapi kami masih menganalisis data kami, " kata Ellis.

Bugcrowd berencana untuk merilis rincian lebih lanjut tentang jenis bug yang ditemukan dan informasi tentang acara di kemudian hari. Startup yang berbasis di San Francisco menjalankan program di mana sekelompok orang bekerja bersama untuk menemukan bug di Situs Web dan aplikasi. Setelah itu mengkonfirmasi bahwa bug yang dilaporkan adalah sah, itu menangani proses pemberitahuan vendor yang tepat.

Hadiah Bug

Program karunia bug semakin populer, karena perusahaan mendorong para peneliti untuk menyerahkan laporan bug kepada mereka secara langsung, daripada menjualnya kepada pemerintah atau menawarkannya untuk mengeksploitasi broker. Tidak melaporkan bug ke vendor berarti bahwa pembeli dapat menggunakan kerentanan ini untuk tujuan mereka sendiri dan membuat pengguna tidak terlindungi dari cacat perangkat lunak itu.

Mozilla dan Google mungkin memiliki program karunia bug paling terkenal, tetapi banyak perusahaan lain sekarang menawarkan beberapa jenis program (daftar panjang, tetapi tidak lengkap, ada di sini). Facebook mengumumkan pada bulan Agustus bahwa mereka telah membayar satu juta dolar dalam bentuk hadiah selama dua tahun terakhir.

Tidak semua bug memenuhi syarat untuk program ini. Misalnya, Facebook memperjelas program mereka hanya mencakup masalah-masalah yang "dapat membahayakan integritas data pengguna Facebook, menghindari perlindungan privasi data pengguna Facebook, atau memungkinkan akses ke sistem dalam infrastruktur Facebook." Microsoft meluncurkan serangkaian hadiah baru-baru ini dan sangat spesifik dalam jenis masalah yang dicari.

Bug Bash 2013

Sulit untuk memperkirakan pada titik ini berapa banyak bug yang ditemukan sebagai bagian dari Bug Bash bernilai total, karena program karunia bug sangat bervariasi dalam berapa banyak mereka membayar. Beberapa program membayar beberapa ratus dolar dan yang lain membayar beberapa ribu dolar. Penting juga untuk dicatat bahwa setiap perusahaan memiliki aturan khusus tentang apa yang mereka kenali sebagai bug dan jenis masalah apa yang dicakup dalam program karunia bug.

Meskipun 220 bug telah diajukan, tergantung pada vendor untuk memutuskan apakah masalah tersebut memenuhi syarat untuk pembayaran. Dan bahkan jika ada pembayaran, itu juga tergantung pada vendor untuk memutuskan jumlahnya. Namun, meskipun setiap bug dari 200+ hanya bernilai beberapa ratus dolar, itu tidak buruk untuk beberapa jam kerja selama tiga hari.

Perwakilan Facebook bahkan ada di tangan selama acara untuk memberikan wawasan tentang program hadiah bug mereka serta untuk menjawab pertanyaan dari para peserta.

Orang-orang yang telah berada di sesi pelatihan belajar tentang teknik yang berbeda mampir untuk mengambil bagian dalam peretasan kelompok, kata Tom Brennan, anggota dewan untuk OWASP Foundation dan salah satu penyelenggara untuk AppSec USA. Orang-orang berkolaborasi sambil bekerja pada target dan meminta bantuan satu sama lain. Menemukan bug bukanlah proses otomatis karena benar-benar mengharuskan orang untuk berpikir tentang apa yang mereka lihat dan menyesuaikan teknik mereka. Lingkungan kolaboratif di mana orang bisa saling memantulkan ide bisa "sangat efektif" untuk perburuan bug, kata Brennan.

Hack-a-thon menemukan 220 bug di facebook, google, etsy