组织提高安全性的前6个漏洞赏金平台

只有黑客才能像黑客一样思考。因此,当涉及到成为“防黑客”的时候,你可能需要求助于黑客。

应用程序安全一直是一个热门话题,随着时间的推移,它变得更加炙手可热。

即使我们拥有大量的防御工具和实践(firewalls、SSL、非对称加密等),没有一个基于网络的应用程序可以声称它在黑客的攻击下是安全的。

为什么会这样呢?

简单的原因是软件开发仍然是一个非常复杂且脆弱的过程。开发人员使用的基础设施中仍然存在着错误(已知和未知的),而随着新软件和库的发布,还会产生新的错误。即使顶级科技公司也难免偶尔会出现尴尬的情况,而且有充分的理由。

招聘. . . 黑客!

鉴于bugs and vulnerabilities可能永远不会离开软件领域,那么依赖该软件生存的企业将会怎样呢?例如,一个新的钱包应用程序如何确保能够抵御黑客的恶意尝试呢?

是的,你现在已经猜到了:通过雇佣黑客来对这个新开发的应用程序进行破解!而他们为什么要这样做呢?只是因为有足够大的赏金——漏洞赏金! :)

如果“赏金”一词让你想起了西部的野蛮时代,弹无虚发的枪战,那正是这里的想法。你以某种方式能够吸引最顶尖、最有知识的黑客(安全专家)来测试你的应用程序,如果他们找到了漏洞,就会得到相应的奖励。

有两种方法可以做到这一点:1)自己举办漏洞赏金活动;2)使用漏洞赏金平台。

漏洞赏金:自助式 VS 平台

为什么要费心选择(并支付)一个漏洞赏金平台,而不是简单地自己举办活动。我的意思是,只需创建一个页面,提供相关细节并在社交媒体上宣传一下,肯定不会失败,对吗?

黑客并不相信!

嗯,这确实是个好主意,但从黑客的角度来看,这并不容易。寻找漏洞并非易事,因为它需要数年的训练、对新旧事物的无限了解、大量的决心,以及比大多数“视觉设计师”更多的创造力(抱歉,我忍不住说这句话! :-P)。

黑客不知道你是谁,也不能确定你是否会支付。或者,他可能没有动力。自助式的漏洞赏金对于谷歌、苹果、Facebook等巨头公司来说是有效的,因为人们可以自豪地将这些公司的名字放在他们的作品集中。“在由XYZ技术系统开发的HRMS应用程序中发现了一个关键的登录漏洞”听起来并不令人印象深刻,对不对(对于那些与此名称相似的公司,我向他们致以诚挚的歉意!)?

此外,在进行漏洞赏金时还有其他实际的(而且压倒性的)原因。

缺乏基础设施

我们谈论的“黑客”并不是那些潜伏在暗网上的黑客。

他们对我们“文明”世界没有时间或耐心。相反,我们在这里谈论的是来自计算机科学背景的研究人员,他们要么在大学里,要么已经是赏金猎人很长时间了。这些人想要以特定的格式提交信息,这本身就是一种痛苦。

即使你最好的开发人员也会努力跟上,而且机会成本可能会太高。

处理提交

最后,还有一个问题是证明。软件可能是建立在完全确定性规则上的,但是何时满足特定的要求是有争议的。让我们举个例子来更好地理解这个问题。

假设您为身份验证和授权错误创建了一个漏洞赏金计划。也就是说,您声称您的系统免受冒名顶替的风险,黑客必须破解这些风险。

现在,黑客发现了一个基于特定浏览器工作方式的弱点,使他们能够窃取用户的会话令牌并冒充他们。

这是一个有效的发现吗?

从黑客的角度来看,肯定是一个漏洞。从您的角度来看,也许不是,因为您可能认为这属于用户责任范畴,或者该浏览器根本不是您目标市场的问题。

如果所有这些戏剧都发生在一个漏洞赏金平台上,那么就会有能力的仲裁者来决定这一发现的影响,并解决这个问题。

说到这里,让我们来看看一些流行的漏洞赏金平台。

YesWeHack

YesWeHack是一个全球性的漏洞赏金平台,提供漏洞披露和众包安全等服务,覆盖法国、德国、瑞士和新加坡等许多国家。它提供了一种颠覆性的漏洞赏金解决方案,以应对随着业务敏捷性的增加而增加的威胁,传统工具已不再满足期望。

YesWeHack让您可以访问虚拟的道德黑客池,最大限度地发挥测试能力。选择您想要的猎手,提交要进行测试的范围或与YesWeHack社区分享范围。它遵循一些严格的规定和标准,以保障猎人和您的利益。

通过利用猎手的响应能力提高应用程序的安全性,并将修复和漏洞检测的时间最小化。一旦您启动该程序,您将能够看到差异。

Open Bug Bounty

您是否为漏洞赏金计划付费过高?

尝试使用Open Bug Bounty进行众包安全测试。

这是一个由社区驱动的、开放的、免费的和去中心化的漏洞赏金平台。此外,它提供了与ISO 29147兼容的负责任和协调的漏洞披露。截至目前,它已帮助修复了超过641k个漏洞。

来自WikiHow、Twitter、Verizon、IKEA、MIT、伯克利大学、飞利浦、Yamaha等领先网站的安全研究人员和专业人士已经使用Open Bug Bounty平台解决了他们的安全问题,如XSS漏洞、SQL injections等。您可以找到高度知识渊博且反应迅速的专业人员,以快速完成您的工作。

Hackerone

在漏洞赏金计划中,Hackerone是在访问黑客、创建赏金计划、传播信息和评估贡献方面的领导者。

您可以使用Hackerone的两种方式:使用该平台收集漏洞报告并自行解决,或者让Hackerone的专家来处理繁重的工作(分类)。分类只是将漏洞报告编译、验证并与黑客进行沟通的过程。

Hackerone被Google Play、PayPal、GitHub、星巴克等知名公司使用,因此,它适用于那些存在严重漏洞和严肃费用的人。😉

Bugcrowd

Bugcrowd提供安全评估的几种解决方案之一就是漏洞赏金。它提供一种SaaS解决方案,可以轻松集成到您现有的软件生命周期中,并使成功运行漏洞赏金计划变得轻而易举。

您可以选择拥有一个只涉及少数黑客的私人漏洞赏金计划,或者选择一个涉及成千上万黑客的公开计划。

根据您的需求和安全模型的成熟度,提供专属的安全顾问、深入的黑客简介、仅限邀请的参与等等。

Intigriti

Intigriti 是一个全面的漏洞赏金平台,可以与白帽黑客进行连接,无论您是想进行私人计划还是公开计划。

对于黑客来说,有很多的 bounties 可以得到。根据公司的规模和行业,可获得从 €1,000 到 €20,000 的漏洞赏金。

Synack

Synack 似乎是那种打破常规并取得巨大成就的市场例外之一。他们的安全计划 Hack the Pentagon 是主要亮点,带来了对几个关键漏洞的发现。

所以,如果您不仅寻找漏洞发现,还希望在最高级别上获得安全指导和培训,Synack 就是您的选择。

结论

就像您远离声称“神奇治愈”的治疗师一样,请远离声称弹丸安全是可能的任何网站或服务。我们能做的只是更接近理想的一步。因此,漏洞赏金计划不应期望产生零漏洞应用程序,而应被视为一种筛选出真正恶劣漏洞的重要策略。

点击这个 bug bounty hunting course 了解和获得声望、奖励和赞赏。

了解 biggest bug bounty programs in the world

希望您能消灭很多的虫子! 🙂

类似文章