像黑客一样思考:漏洞赏金的重要性
要像黑客一样思考,你需要有黑客的视角。因此,当涉及到增强应用安全性,也就是“防黑客”时,可能需要借助黑客的力量。
应用安全始终是一个备受关注的话题,而且随着时间的推移变得愈发重要。
尽管我们拥有众多防御工具和实践(如防火墙、SSL、非对称加密等),但没有任何一个基于网络的应用程序敢声称自己是绝对安全的,可以完全避免黑客的攻击。
这是为什么呢?
原因很简单,软件开发仍然是一个极其复杂且易受攻击的过程。开发人员使用的底层代码中仍然存在缺陷(已知和未知),并且随着新软件和库的推出,新的漏洞也在不断产生。即使是顶级的科技公司,也难免会偶尔出现尴尬的局面,这是有充分理由的。
招聘黑客?
鉴于软件领域中漏洞和缺陷可能永远不会消失,那么依赖于软件的企业又该如何生存呢?例如,一个新推出的钱包应用程序如何确保它能够抵御黑客的恶意攻击?
你可能已经猜到了:聘请黑客来破解这个新开发的应用程序!他们为什么要这样做呢?仅仅因为提供了足够诱人的奖励——漏洞赏金! 🙂
如果“赏金”这个词让你想起了狂野西部的场景,子弹乱飞,这正是这里想要表达的概念。你可以让最优秀、最博学的黑客(安全专家)来仔细检查你的应用程序,如果他们发现了问题,他们将获得奖励。
有两种方法可以实现:1) 自行组织漏洞赏金计划; 2) 使用漏洞赏金平台。
漏洞赏金:自托管还是平台?
当你可以轻松地自行托管漏洞赏金计划时,为什么还要费心选择(并为此付费)漏洞赏金平台呢?我的意思是,你只需创建一个包含相关信息的页面,并在社交媒体上宣传一下。这显然不会失败,对吧?
嗯,这听起来似乎是个好主意,但从黑客的角度来看,情况并非如此。发现漏洞并非易事,它需要多年的培训、对新旧事物的深入了解、巨大的决心以及比大多数“视觉设计师”更多的创造力(抱歉,我忍不住要吐槽一下! :-P)。
黑客不了解你是谁,或者不确定你是否会付款,也可能缺乏足够的动力。自托管的赏金活动可能适用于谷歌、苹果、Facebook等巨头,人们可以自豪地将他们的名字放在自己的投资组合中。“在XYZ科技系统开发的HRMS应用程序中发现了一个严重的登录漏洞”听起来并不那么令人兴奋,不是吗(向任何可能与此名称相似的公司表示歉意!)?
在漏洞赏金方面,还有其他实际(且令人难以抗拒的原因)不应该单打独斗。
缺乏基础设施
我们一直在讨论的“黑客”并不是那些潜伏在暗网中的人。
那些人对我们“文明”的世界没有时间和耐心。相反,我们在这里谈论的是具有计算机科学背景的研究人员,他们要么正在大学学习,要么长期从事赏金猎人工作。这些人希望并以特定格式提交信息,这本身就很难适应。
即使你最好的开发人员也很难跟上,机会成本可能会变得过高。
解决提交
最后是证据的问题。软件可能建立在完全确定的规则之上,但何时满足特定要求仍有待商榷。让我们举一个例子来更好地理解这一点。
假设你为身份验证和授权错误设置了漏洞赏金。也就是说,你声明你的系统不存在被黑客攻击的冒充风险。
现在,黑客发现了一个基于特定浏览器工作方式的弱点,这使他们能够窃取用户的会话令牌并冒充用户。
这是一个有效的发现吗?
从黑客的角度来看,漏洞就是漏洞。但从你的角度来看,也许不是,因为你可能认为这属于用户的责任范围,或者浏览器根本不是你目标市场的重点。
如果所有这些争议都发生在漏洞赏金平台上,那么就会有专业的仲裁员来评估发现的影响并解决问题。
话虽如此,让我们来看看一些流行的漏洞赏金平台。
YesWeHack
YesWeHack 是一个全球性的漏洞赏金平台,在法国、德国、瑞士和新加坡等多个国家提供漏洞披露和众包安全服务。它提供了一种创新的漏洞赏金解决方案,以应对随着业务敏捷性的提高而增加的威胁,而传统工具已经无法满足需求。
YesWeHack 允许你访问一个由道德黑客组成的虚拟池,并最大限度地提高你的测试能力。你可以选择你想要的黑客,并提交需要测试的范围,或与 YesWeHack 社区分享。该平台遵循一些严格的规则和标准,以维护黑客和你双方的利益。
通过利用黑客的响应能力来提高应用程序的安全性,并最大限度地缩短修复和漏洞检测的时间。一旦启动,你就会看到明显的变化。
Open Bug Bounty
你是否为你的漏洞赏金计划付出了过多的费用?
试试 Open Bug Bounty 来进行众包安全测试。
这是一个由社区驱动的、开放的、免费的、非中介的漏洞赏金平台。此外,它还提供符合 ISO 29147 的负责任且协调的漏洞披露流程。到目前为止,它已帮助修复了超过641,000个漏洞。
来自维基百科、Twitter、Verizon、宜家、麻省理工学院、伯克利大学、飞利浦、雅马哈等知名网站的安全研究人员和专业人士已经使用 Open Bug Bounty 平台解决了他们的安全问题,例如 XSS 漏洞、SQL 注入等。你可以在这里找到知识渊博且反应迅速的专业人员来快速完成你的工作。
HackerOne
在漏洞赏金计划中,HackerOne 在访问黑客、创建赏金计划、传播信息和评估贡献方面处于领先地位。
你可以通过两种方式使用 HackerOne:使用该平台收集漏洞报告并自行解决,或者让 HackerOne 的专家进行繁琐的工作(分类)。分类只是一个编译漏洞报告、验证它们并与黑客沟通的过程。
HackerOne 被 Google Play、PayPal、GitHub、Starbucks 等大公司使用,所以它当然适用于那些拥有大量漏洞和充足资金的公司。😉
Bugcrowd
Bugcrowd 提供多种安全评估解决方案,其中之一是漏洞赏金。它提供了一种 SaaS 解决方案,可以轻松集成到你现有的软件生命周期中,并方便你成功地开展漏洞赏金计划。
你可以选择一个涉及少数黑客的私人漏洞赏金计划,或者一个众包给数千人的公共漏洞赏金计划。
SafeHats
如果你是一家企业,不希望公开你的漏洞赏金计划,但又需要比典型的漏洞赏金平台提供更多的关注,那么 SafeHats 是你最可靠的选择(真是个糟糕的文字游戏,嗯?)。
专业的安全顾问、深入的黑客资料、仅限受邀参与——这一切都取决于你的需求和安全模型的成熟程度。
Intigriti
Intigriti 是一个全面的漏洞赏金平台,无论你想运行私人还是公共计划,都可以将你与白帽黑客联系起来。
对于黑客来说,有很多 赏金 可以去争取。根据公司规模和行业,他们提供的漏洞搜寻服务价格从 1,000 欧元到 20,000 欧元不等。
Synack
Synack 似乎是打破常规并做出巨大贡献的市场例外之一。他们的安全计划 入侵五角大楼 是一个主要的亮点,导致发现了几个关键漏洞。
因此,如果你不仅要寻找漏洞,还要寻找顶级的安全指导和培训,那么 Synack 是你的不二之选。
结论
就像你应该远离那些声称提供“奇迹疗法”的治疗师一样,你也应该远离任何声称可以实现绝对安全的网站或服务。我们所能做的就是尽可能地接近理想。因此,你不应期望漏洞赏金计划产生零错误的应用程序,而应将其视为消除真正令人头疼的问题的基本策略。
看看这个 漏洞赏金狩猎课程,学习知识,并获得名望、奖励和赞赏。
了解世界上最大的漏洞赏金计划。
我希望你能成功地消灭许多漏洞! 🙂