Chanzo: www.hackerone.com – Mwandishi: Rafael de Carvalho. Hackare wanaripoti udhaifu zaidi mnamo 2022 kuweka jukwaa salama tuliangalia jinsi mpango wetu ulivyofanya kutoka Februari 2022 hadi Februari 2023. Mnamo 2022, tuliona ongezeko la 89% la uwasilishaji wa fadhila kwa mpango wetu. Wakati tuliona kuzamishwa kwa uwasilishaji zaidi ya Novemba na Desemba, kulikuwa na ongezeko kubwa kutoka Januari 2023, na ongezeko la asilimia 66 la ripoti. Mnamo 2022 pia tulilipa malipo ya fadhila zaidi kwa mpango wetu hadi leo, na thawabu jumla ya $ 163,134 kwa matokeo 56, na fadhila wastani kwa ripoti ya $ 2,862. Juni ilikuwa mwezi wetu wa kazi zaidi, kulipa zaidi ya $ 61,000 kwa mwezi mmoja kwa ripoti 143, 29 kati yao zilikuwa muhimu au ukali mkubwa. Kipimo kimoja cha mpango wa fadhila wa bug na wa kuvutia ni jinsi programu inavyojibu haraka kwa hacker na kurekebisha udhaifu. Tunadumisha wastani wa siku mbili ili kudhoofisha mazingira magumu na mwezi kuirekebisha, kulingana na ukali. Tunakusudia kumlipa Hacker karibu na triage iwezekanavyo na kuwa na wastani wa siku tisa hadi fadhila itakapolipwa. Tunataka kutoa shukrani maalum kwa watapeli wa juu wanaoshiriki kwenye programu yetu: HAXTA4OK00 Mikkocarreon Cache-pesa whhackersbr FuzzSQLB0F Upataji na dosari za programu ya mtu mwingine zilikuwa dereva mkubwa wa ripoti za hatari tunajua kuwa utangulizi wa bidhaa mpya na ujumuishaji na ununuzi ni haswa hatari za usalama kwa wateja wetu. Mwanzoni mwa 2022, tulipitia ununuzi wenyewe na tukapata changamoto za usalama ambazo zinakuja na mchakato huo. Tuliongeza PullRequest kwa wigo wetu, na mara moja tuliona watapeli wakiripoti kupatikana kwa hali ya juu/muhimu, kwa mfano, eneo hili la upofu wa tovuti ya udhaifu katika portal ya admin (asante @bugra!) Na, kwenye hackerone.com, @ahacker1 iliripoti A kuvunjika Udhibiti wa ufikiaji na udhalilishaji wa habari katika bidhaa mpya ya Hackerone Assets. Pia hatuwezi kinga kutokana na changamoto ya usalama wa usambazaji wa usambazaji na udhaifu unaopatikana katika wauzaji wetu wa tatu. Tulipokea uwasilishaji kadhaa ambao ulitutaka kufanya kazi pamoja na wachuuzi wetu kurekebisha. Ripoti muhimu zaidi ya mtu wa tatu ilikuwa picha ya hivi karibuni ya ImageTragick, iliyoripotiwa na @mikkocarreon, #1858574). Hatari ya ujumuishaji wa faili ya ndani katika ImageMagick inaweza kutumiwa wakati picha zilizopakiwa zinarekebishwa. Kwa kupakia picha mbaya ya PNG, mchakato wa kurekebisha utajumuisha faili ya ndani kama yaliyomo kwenye picha iliyowekwa nyuma katika uwakilishi wa hexadecimal. Ikiwa inatumiwa, mshambuliaji anaweza kupata seva na kupata karibu ufikiaji kamili wa kusoma na kubadilisha data ya Hackerone. Shukrani kwa mpango wa Bounty ya Bug tuliweza kubatilisha suala hilo ndani ya masaa machache tu ya kuarifiwa. Tutachapisha pia blogi ya kina juu ya udhaifu huu katika miezi ijayo! Changamoto fulani na kuongezeka kwa udhaifu katika teknolojia ya mtu wa tatu ni kwamba, kwa jadi, tumelipa 20% tu ya fadhila jumla ya hatari katika mtu wa tatu, kwa maana tunaangalia jinsi bora ya kuwalipa watekaji nyara na kuhakikisha usalama Katika nyuso mbili za shambulio tunapoendelea mnamo 2023. Uhandisi unachukua jukumu muhimu katika usalama wetu kama mhandisi wa Hackerone, unatarajiwa kupata kile unachounda. Mashirika yataenda kusonga sindano juu ya usalama ikiwa watengenezaji na wahandisi wana jukumu sawa kwa usalama wa bidhaa na mali. Kama wahandisi, tunashiriki katika kozi za mafunzo ya usalama wa robo mwaka ili kuweka habari juu ya vitisho vya hivi karibuni na jinsi ya kupunguza. Tunashirikiana kwa karibu na timu ya usalama wakati wa kujenga bidhaa na tutajumuisha usalama katika mchakato wa ujenzi haswa wakati wa kufanya kazi na PII au data ya kifedha. Linapokuja suala la kupitisha masomo kutoka kwa mpango wa fadhila ya mdudu, kufuatia triage ya awali, mzunguko wa wahandisi hupokea ripoti hiyo, ambao basi huwasiliana moja kwa moja na mporaji, kubaini sababu ya mizizi, kuorodhesha na kuongezeka, au kurekebisha moja kwa moja, udhaifu. Mara tu wahandisi watakapoingia ndani, ripoti zinatumwa moja kwa moja kwa timu na muktadha zaidi wa uthibitisho wa haraka. Kuwa na timu zinazofaa za uhandisi kusoma hatari na sababu yake imetuwezesha kuongeza mpango wetu na kuongeza motisha juu ya udhaifu wa hali ya juu na muhimu, na kusababisha ongezeko ambalo tumeona mwaka huu katika uwasilishaji wa hali ya juu na muhimu. Mwishowe, tunahimiza timu yetu wenyewe kuwasilisha matokeo kwa mpango wetu wenyewe, ingawa hizi hazifai kwa fadhila. Kwa mfano @RColeman alipata sindano ya SQL katika utaftaji wa Ugunduzi wa CVE na @Jobert mara kwa mara anaripoti udhaifu kwenye huduma ambazo anafanya kazi. Kuhamasisha Hackare ndio kipaumbele cha juu mnamo 2023 uso wa shambulio ngumu unamaanisha kuwa uko katika nafasi ya kutoa fadhila za juu kwani hautaki kulipa kwa matunda yaliyowekwa chini kwenye uso dhaifu wa kushambulia na kwa hivyo inaweza kuchochea watapeli ili kupata Udhaifu huo muhimu sana. Tumekuwa tukijaribu kuunda malipo ya nguvu ya fadhila kulingana na uwasilishaji, kwa hivyo sufuria ya fadhila huongeza muda mrefu inachukua kwa mtu kuwasilisha hatari kubwa. Mnamo 2023, tutaendelea kufanikiwa kwenye mchakato wetu wa triage, kuweka matarajio wazi juu ya kile kinachostahili kama hatari. Tunaona ripoti kadhaa ziko karibu kama habari kwa sababu ya hatari inayoonekana kuwa hulka badala ya mdudu au kwa sababu ni kitu kinachojengwa. Ni muhimu kwetu kuwa wazi iwezekanavyo na watafiti ili kila mtu aelewe ni nini kinachostahili malipo. Majaribio ni ufunguo wa kufanya mpango wetu wa fadhila uwe mzuri zaidi na wenye athari na ili tuweze kupitisha masomo hayo kwa mteja. Kama timu za uhandisi zinavyoongeza umakini wao katika kutumia data ya hatari kujenga bidhaa salama zaidi, wanatarajia udhaifu kuwa ngumu zaidi kupata! Ili kujua jinsi ya kuripoti mdudu kwa Hackerone, angalia ukurasa wetu wa programu: https://hackerone.com/security?type=Team Vidokezo vya juu kwa wahandisi kuchangia fadhila bora ya darasa la kwanza kufafanua mpango wazi- Sera iliyoandikwa vizuri na wigo uliowekwa vizuri husaidia watapeli kujua wapi na jinsi ya kufanya kazi. Hii inawapa Hackare ujasiri wa kujua programu hiyo inafanya kazi kwao. Punguza kizuizi cha kuingia – ikiwa watekaji nyara watatumia pesa, au wanahitaji kuwa na marupurupu ya kufikia pembe fulani za programu yako, watakuwa na wakati mgumu kupima bidhaa yako. Hackerone, kwa mfano, hutoa mipango ya “sandbox” kujaribu hali tofauti bila athari za ulimwengu wa kweli. Programu za wateja zinaweza kuongeza sifa zetu za sifa ili kutoa ufikiaji wa watekaji huduma zao. Thawabu kwa ushindani – Jedwali la fadhila lina ushawishi mkubwa juu ya ushiriki wa wahusika. Kwa wakati, programu yako inakuwa ngumu na watekaji wanahitaji kuwekeza zaidi ili kupata udhaifu. Mara kwa mara kuinua meza yako ya fadhila kunawasiliana kuwa mpango wako sio mbaya. Hackerone anajaribu wazo linaloitwa “Zawadi za Smart”: Tunaendelea kuongeza dimbwi la fadhila hadi udhaifu utakapopatikana na, mara tu ukipatikana, kuweka upya “bonasi” kurudi kwa sifuri kwa mzunguko mwingine. Jenga uhusiano na jamii yako ya wahusika – kuwa msikivu. Mawasiliano mazuri na ya mara kwa mara husababisha haraka na bora na kusumbua na kufadhaika kidogo, kuboresha uhifadhi wa wahusika. Boga mende hizo – Pamoja na programu yetu, tumegundua kuwa ni muhimu kuwa na mchakato thabiti wa kukanyaga na kukabidhi ripoti kwa timu sahihi. Hakikisha pia uombe tena ili kuhakikisha kuwa hatari imetatuliwa na kuangalia athari zozote zisizohitajika. Tembelea Ukurasa wetu wa Nyaraka kwa habari zaidi juu ya kuendesha mpango bora wa asili wa posta: https://www.hackerone.com/blog/year-hackerones-bug-bounty-program
Leave a Reply