วีดีโอ: Facebook Hacker Cup 2020 Qual' (2nd place) (กันยายน 2024)
คุณจะได้อะไรเมื่อคุณวางแฮ็กเกอร์ไว้ในห้องแล้วส่งรายชื่อเว็บไซต์เป้าหมายให้พวกเขา พวกมันออกล่าสัตว์แล้ว!
นั่นคือสิ่งที่เกิดขึ้นที่ Bug Bash 2013 ซึ่งเป็น "การแฮ็กข้อมูลทางอินเทอร์เน็ต" ที่ดำเนินการโดย Bugcrowd ในการประชุม AppSec USA ในนิวยอร์กเมื่อต้นสัปดาห์ที่ผ่านมา Casey John Ellis ผู้ก่อตั้งและซีอีโอของ Bugcrowd กล่าวว่าประมาณ 80 คนเข้าร่วมในช่วงเย็นสามครั้งและมี "ร้อย" เข้าร่วมจากระยะไกลผ่านทางอินเทอร์เน็ต ผู้เข้าร่วมส่งข้อบกพร่องที่ระบุไปยัง Bugcrowd และทีมทำซ้ำเงื่อนไขที่นำไปสู่ข้อผิดพลาดเพื่อยืนยันปัญหา
รายการเป้าหมายรวมถึง บริษัท ต่างๆเช่น Facebook, Google, Etsy, Prezi และ Yandex ผู้ทดสอบความปลอดภัยที่มีส่วนร่วมระบุข้อผิดพลาดกว่า 220 ข้อ Ellis กล่าว ส่วนใหญ่แล้วปัญหาที่เกิดขึ้นนั้นเกิดจากความหลากหลายของการใช้งานทางโลกซึ่งรวมถึงการฉีดยาบางอย่างและการหลีกเลี่ยงช่องโหว่
“ ฉันไม่เคยได้ยินเกี่ยวกับช่องโหว่ที่แปลกใหม่ แต่เรายังคงวิเคราะห์ข้อมูลของเราอยู่” เอลลิสกล่าว
Bugcrowd วางแผนที่จะเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับประเภทของข้อบกพร่องที่ไม่ได้เปิดเผยและข้อมูลเกี่ยวกับกิจกรรมในภายหลัง การเริ่มต้นทำงานในซานฟรานซิสโกใช้โปรแกรมที่กลุ่มคนทำงานร่วมกันเพื่อค้นหาข้อบกพร่องในเว็บไซต์และแอปพลิเคชัน เมื่อมันยืนยันว่าข้อผิดพลาดที่ถูกรายงานนั้นถูกกฎหมายแล้วมันจะจัดการกระบวนการแจ้งผู้ขายที่เหมาะสม
Bug Bounties
โปรแกรมความนิยมของ Bug ได้รับความนิยมมากขึ้นเรื่อย ๆ เนื่องจาก บริษัท ต่าง ๆ สนับสนุนให้นักวิจัยส่งรายงานข้อผิดพลาดไปยังพวกเขาโดยตรงแทนที่จะขายให้รัฐบาลหรือเสนอให้ใช้ประโยชน์จากนายหน้า การไม่รายงานข้อผิดพลาดไปยังผู้ขายหมายความว่าผู้ซื้อสามารถใช้ช่องโหว่เหล่านี้เพื่อจุดประสงค์ของตนเองและทำให้ผู้ใช้ไม่ได้รับการป้องกันจากข้อบกพร่องของซอฟต์แวร์นั้น
Mozilla และ Google อาจเป็นที่รู้จักกันดีที่สุดในเรื่องของโปรแกรมแก้ไขข้อผิดพลาด แต่ตอนนี้มี บริษัท อื่น ๆ อีกมากมายที่เสนอโปรแกรมบางอย่าง (ที่ยาว แต่ไม่สมบูรณ์รายการอยู่ที่นี่) Facebook ประกาศในเดือนสิงหาคมว่าได้จ่ายเงินเป็นล้านดอลลาร์ในช่วงสองปีที่ผ่านมา
ไม่ใช่ข้อบกพร่องทั้งหมดที่มีสิทธิ์ได้รับโปรแกรมเหล่านี้ ตัวอย่างเช่น Facebook ทำให้ชัดเจนว่าโปรแกรมของพวกเขาครอบคลุมเฉพาะประเด็นที่อาจ "ทำให้ความสมบูรณ์ของข้อมูลผู้ใช้ Facebook หลีกเลี่ยงการปกป้องความเป็นส่วนตัวของข้อมูลผู้ใช้ Facebook หรือเปิดใช้งานการเข้าถึงระบบภายในโครงสร้างพื้นฐาน Facebook" Microsoft ได้เปิดตัวชุดของรางวัลเมื่อเร็ว ๆ นี้และมีความเฉพาะเจาะจงมากในเรื่องของปัญหาที่ค้นหา
Bug Bash 2013
มันยากที่จะประเมิน ณ จุดนี้ว่าข้อบกพร่องที่เปิดเผยในฐานะส่วนหนึ่งของ Bug Bash นั้นมีมูลค่าโดยรวมเนื่องจากโปรแกรมบั๊กที่มีความหลากหลายแตกต่างกันอย่างมากในจำนวนที่จ่าย บางโปรแกรมจ่ายเงินหลายร้อยดอลลาร์และบางโปรแกรมจ่ายหลายพันดอลลาร์ เป็นสิ่งสำคัญที่จะต้องทราบว่าแต่ละ บริษัท มีกฎเฉพาะเกี่ยวกับสิ่งที่พวกเขารับรู้ว่าเป็นข้อผิดพลาดและประเภทของปัญหาที่ได้รับความคุ้มครองภายใต้โปรแกรมรางวัลบั๊ก
แม้ว่าจะมีการส่ง 220 ข้อผิดพลาดขึ้นอยู่กับผู้ขายที่จะตัดสินใจว่าปัญหามีคุณสมบัติสำหรับการจ่ายเงินหรือไม่ และแม้ว่าจะมีการจ่ายเงินก็ขึ้นอยู่กับผู้ขายที่จะตัดสินใจจำนวนเงิน อย่างไรก็ตามแม้ว่าทุก ๆ หนึ่งใน 200+ แมลงมีค่าเพียงไม่กี่ร้อยดอลลาร์ที่ไม่เลวสำหรับการทำงานสองสามชั่วโมงในช่วงสามวัน
ตัวแทนของ Facebook ยังอยู่ในระหว่างการจัดกิจกรรมเพื่อให้ข้อมูลเชิงลึกเกี่ยวกับโปรแกรมความโปรดปรานของพวกเขาและตอบคำถามจากผู้เข้าร่วม
Tom Brennan สมาชิกคณะกรรมการของ OWASP Foundation และหนึ่งในผู้จัดงาน AppSec USA กล่าวว่าผู้ที่เคยเข้าร่วมการฝึกอบรมการเรียนรู้เทคนิคต่าง ๆ ได้หยุดเพื่อเข้าร่วมแฮ็คกลุ่ม ผู้คนทำงานร่วมกันระหว่างทำงานกับเป้าหมายและขอความช่วยเหลือจากกันและกัน การค้นหาข้อบกพร่องไม่ใช่กระบวนการอัตโนมัติเนื่องจากต้องการให้ผู้คนคิดเกี่ยวกับสิ่งที่พวกเขาเห็นและปรับเทคนิคให้เหมาะสม สภาพแวดล้อมการทำงานร่วมกันที่ผู้คนสามารถสะท้อนความคิดเห็นซึ่งกันและกันสามารถ "มีประสิทธิภาพมาก" สำหรับการตามล่าหาแมลงเบรนแนนกล่าว
