Video: Facebook Hacker Cup 2020 Qual' (2nd place) (Nobyembre 2024)
Ano ang makukuha mo kapag naglagay ka ng ilang mga hacker sa isang silid at binigyan sila ng isang listahan ng mga target na Mga Website? Pumunta sila ng bug-hunting!
Iyon ang nangyari sa Bug Bash 2013, isang "internet-wide hack-a-thon" na pinapatakbo ng Bugcrowd sa conference ng AppSec USA sa New York mas maaga sa linggong ito. Humigit-kumulang 80 mga tao ang lumahok sa paglipas ng tatlong gabi, at "daan-daang" ang lumahok nang malayuan sa Internet, sinabi ni Casey John Ellis, tagapagtatag at CEO ng Bugcrowd. Ang mga kalahok ay nagsumite ng mga bug na nakilala nila sa Bugcrowd, at ginaya ng koponan ang mga kundisyon na humahantong sa error upang kumpirmahin ang isyu.
Ang listahan ng mga target ay kasama ang mga kumpanya tulad ng Facebook, Google, Etsy, Prezi, at Yandex. Ang mga security tester na nakibahagi sa pagkilala sa mahigit sa 220 mga bug, sinabi ni Ellis. Karamihan sa mga bahagi, ang mga isyu ay mula sa pangkaraniwang run-of-the-mill na uri, kabilang ang ilang mga iniksyon at bypass na kahinaan.
"Hindi ko pa naririnig ang tungkol sa anumang mga kakaibang kahinaan, ngunit, pinag-aaralan pa rin namin ang aming data, " sabi ni Ellis.
Plano ng Bugcrowd na maglabas ng higit pang mga detalye tungkol sa uri ng mga bug na walang takip at impormasyon tungkol sa kaganapan sa ibang araw. Ang startup na nakabase sa San Francisco ay nagpapatakbo ng mga programa kung saan ang mga grupo ng mga tao ay nagtutulungan upang makahanap ng mga bug sa mga Website at application. Sa sandaling kumpirmahin na ang mga bug na iniulat ay lehitimo, pinangangasiwaan nito ang proseso ng pag-abiso sa mga naaangkop na vendor.
Mga Bounties ng Bug
Ang mga programang bounty ng bug ay lalong nagiging sikat, dahil hinihikayat ng mga kumpanya ang mga mananaliksik na magsumite ng mga ulat ng bug sa kanila nang direkta, sa halip na ibebenta ang mga ito sa gobyerno o ihandog sila upang samantalahin ang mga broker. Ang hindi pag-uulat ng bug sa vendor ay nangangahulugan na ang mamimili ay maaaring gumamit ng mga kahinaan na ito para sa kanilang sariling mga layunin at mag-iwan ng mga gumagamit na hindi protektado mula sa software na kapintasan.
Marahil ang Mozilla at Google ay may pinakamahusay na kilalang mga programa ng bounty ng bug, ngunit maraming iba pang mga kumpanya ngayon ang nag-aalok ng ilang uri ng isang programa (isang mahaba, ngunit hindi kumpleto, ang listahan ay narito). Inihayag ng Facebook noong Agosto na nagbayad ito ng isang milyong dolyar sa mga bounties sa nakalipas na dalawang taon.
Hindi lahat ng mga bug ay karapat-dapat para sa mga programang ito. Halimbawa, nilinaw ng Facebook na ang kanilang programa ay sumasaklaw lamang sa mga isyu na maaaring "maaaring makompromiso ang integridad ng data ng gumagamit ng Facebook, maiiwasan ang mga proteksyon sa privacy ng data ng gumagamit ng Facebook, o paganahin ang pag-access sa isang sistema sa loob ng imprastruktura ng Facebook." Inilunsad ng Microsoft ang isang serye ng mga premyo kamakailan at napaka-tiyak sa uri ng mga isyu na hinahanap nito.
Bug Bash 2013
Mahirap matantya sa puntong ito kung magkano ang mga bug na walang takip bilang bahagi ng Bug Bash ay nagkakahalaga sa kabuuan, dahil ang mga programang bughaw na bughaw ay nag-iiba nang malaki sa kung magkano ang babayaran nila. Ang ilang mga programa ay nagbabayad ng ilang daang dolyar at ang iba ay nagbabayad ng ilang libong dolyar. Mahalaga rin na tandaan na ang bawat kumpanya ay may mga tukoy na patakaran tungkol sa kung ano ang kinikilala nila bilang isang bug at kung anong mga uri ng mga isyu ang nasasakop sa ilalim ng programang bugbugin.
Kahit na naisumite ang 220 mga bug, nasa vendor na magpasya kung ang mga isyu ay kwalipikado para sa isang payout. At kahit may payout, nasa sa tindero din ang magdesisyon. Gayunpaman, kahit na ang bawat isa sa 200+ mga bug ay nagkakahalaga lamang ng ilang daang dolyar, hindi masama ito sa ilang oras ng trabaho sa loob ng tatlong araw.
Ang mga kinatawan ng Facebook ay nasa kamay pa rin sa panahon ng mga kaganapan upang magbigay ng mga pananaw sa kanilang mga programa sa bug ng mga bug pati na rin upang sagutin ang mga katanungan mula sa mga kalahok.
Ang mga taong naging sesyon ng pagsasanay na natutunan ang tungkol sa iba't ibang mga diskarte ay huminto upang makilahok sa group-hack, sinabi ni Tom Brennan, isang miyembro ng board para sa OWASP Foundation at isa sa mga tagapag-ayos para sa AppSec USA. Ang mga tao ay nakikipagtulungan habang nagtatrabaho sa mga target at humihingi ng tulong sa bawat isa. Ang paghahanap ng mga bug ay hindi isang awtomatikong proseso dahil kailangan talaga nitong isipin ng mga tao ang kanilang nakikita at inaayos ang kanilang mga pamamaraan nang naaayon. Ang isang pakikipagtulungan na kapaligiran kung saan maaaring i-bounce ng mga tao ang mga ideya sa bawat isa ay maaaring maging "napaka-epektibo" para sa pag-hunting ng bug, sinabi ni Brennan.
