Chanzo: www.hackerone.com – Mwandishi: HackerOne. Katika waraka wetu wa hivi majuzi wa wavuti, “Programu za Fadhila za Hitilafu: Masomo Yanayopatikana Kutokana na Utekelezaji Katika Sekta ya Huduma za Kifedha”, tulisikia vidokezo muhimu kutoka kwa kiongozi wa appsec katika mojawapo ya kampuni kubwa zaidi za huduma za kifedha duniani. Jason Pubal, mkurugenzi wa usalama wa maombi katika kampuni hii kubwa, alizungumza kuhusu kazi yake katika kipindi cha miaka 2 iliyopita katika kutayarisha na kuzindua programu ya fadhila ya hitilafu kwenye HackerOne. Unaweza kutazama mchezo wa marudio hapa. Kampuni ilianza kutayarisha mpango wa fadhila ya hitilafu mwaka wa 2017, ilipoanza kufanya kazi ili kuboresha na kuendeleza michakato yao ya sasa ya kudhibiti athari. Kama Jason alivyoeleza, kupata taratibu hizo na kufanya kazi vizuri kulisaidia kurahisisha utekelezaji wa mpango wa fadhila ya mdudu. Mara tu michakato yao ilipowekwa, walizindua mpango wao wa zawadi za hitilafu mapema mwaka wa 2018. Upeo wa sasa unajumuisha maombi yote yanayowakabili watumiaji na umma, na unaendeshwa kama mpango wa fadhila wa kibinafsi. Jason alipokuwa akisimulia hadithi yao, hapa kuna vidokezo 4 alivyoangazia ili kuwasaidia wale wanaofikiria kuzindua programu zao za fadhila za hitilafu. Kwanza, jenga mchakato mzuri wa usimamizi wa mazingira magumu. “Kutekeleza mpango wa fadhila ya mdudu ni rahisi sana ikiwa una mchakato thabiti wa usimamizi wa hatari tayari,” alisema Jason. Kwa kuwa walichukua muda kuunda mchakato madhubuti, Jason alisema kwamba uwasilishaji wa mpango wao wa fadhila ya mdudu ulikuwa “rahisi zaidi kuliko ilivyotarajiwa.” Pili, uwe tayari kubadilisha fikra zako kwenye appsec kwa mbinu za maendeleo agile. Kampuni ya Jason inaendesha mbio za kukimbia kwa wiki 2-3, ambazo ziliondoa wiki moja au zaidi walilazimika kufanya majaribio ya kupenya. Mchakato wao wa majaribio ulibidi ubadilike, lakini haukuweza kuachwa. Walihama kutoka kwa mkabala wa “mlinda lango” hadi kwa usalama unaoendelea. Sasa wanachanganya majaribio ya kalamu na mpango wao wa fadhila, kuruhusu majaribio ya kalamu kuzingatia maeneo maalum wakati mpango wa fadhila unaweza kutoa blanketi ya kina zaidi ya uchunguzi. Tatu, rekebisha programu yako ya appsec kiotomatiki. Timu ya Jason ilitumia API za HackerOne kuvuta ripoti za hitilafu kwenye kile wanachokiita hifadhidata yao ya matokeo. Kisha, wanaunganisha maelezo hayo na data ya mali ili hitilafu ziweze kuhesabiwa kulingana na hatari. Kwa mfano, ikiwa kipengee kimeunganishwa kwa PII, hitilafu hupata alama ya juu zaidi. Ripoti ya hitilafu, bao, na data ya mali zote hutumwa kwa mfumo wao wa kufuatilia hitilafu na barua pepe hutumwa kwa wamiliki wa programu. Na yote ni ya kiotomatiki! “Timu yangu nzima inaweza kuchukua mapumziko ya mwezi mmoja, watafiti wangeendelea kutafuta na kuripoti mambo, timu ya utatuzi ya HackerOne ingeendelea kujaribu mende,” Jason alielezea. “Bila hatua yoyote kutoka kwa timu yangu, mende hupatikana, kuripotiwa kwa timu za maombi, na mambo hurekebishwa.” Hatimaye, tumia viunzi vinavyopatikana kupitia HackerOne. Jason alitumia huduma ya VPN ya HackerOne ili kunasa data muhimu ambayo ilimpa maarifa na uwezo aliokuwa akitafuta. Jason pia alianza na programu ya kibinafsi, akiwaalika wavamizi walio na ujuzi ufaao na ubora wa kipekee kushiriki. Programu yao ya kibinafsi ilianza na wadukuzi 5 tu, lakini haraka ilikua zaidi ya 30 wanaoshiriki leo. Kwa mwaka wa 2019, Jason na timu yake wanajiandaa kuhamia mpango wa fadhila wa umma kwa hitilafu, na pia kupanua wigo kwa kila programu inayoangalia mtandao kwenye kwingineko yao. Hii itajumuisha programu za simu na B2B, pamoja na API zao. Ili kupata maelezo zaidi kuhusu tukio la Jason kuzindua mpango wa zawadi ya hitilafu kwa kutumia HackerOne, tazama mtandao hapa. HackerOne ni jukwaa # 1 la usalama linaloendeshwa na wadukuzi, linalosaidia mashirika kutafuta na kurekebisha udhaifu mkubwa kabla ya kutumiwa vibaya. Kama njia mbadala ya kisasa ya majaribio ya kawaida ya kupenya, suluhisho zetu za mpango wa fadhila za hitilafu hujumuisha tathmini ya uwezekano wa kuathiriwa, upimaji wa rasilimali watu na udhibiti unaowajibika wa ufichuzi. Gundua zaidi kuhusu suluhu zetu za majaribio ya usalama au Wasiliana Nasi leo. Url ya Chapisho asili: https://www.hackerone.com/application-security/financial-services-tips-bug-bounty-success
Leave a Reply