비디오: Microsoft Facebook Hackathon - Hack Presentations (십월 2024)
해커를 방에 넣고 대상 웹 사이트 목록을 제공하면 무엇을 얻습니까? 그들은 버그 사냥을 간다!
이번 주 초 뉴욕에서 열린 AppSec USA 컨퍼런스에서 Bugcrowd가 운영 한 "인터넷 전체 핵 해킹"인 Bug Bash 2013에서 이런 일이 일어났습니다. Bugcrowd의 창립자이자 CEO 인 Casey John Ellis는 3 일 저녁 동안 약 80 명이 참여하고 인터넷을 통해 원격으로 "수백"이 참여했다고 말했다. 참가자는 식별 한 버그를 Bugcrowd에 제출했으며 팀은 문제를 확인하기 위해 오류가 발생하는 조건을 복제했습니다.
대상 목록에는 Facebook, Google, Etsy, Prezi 및 Yandex와 같은 회사가 포함되었습니다. 엘리스는 참여한 보안 테스터들이 220 개가 넘는 버그를 발견했다고 말했다. 대부분의 경우 문제는 일부 인젝션 및 바이 패스 취약점을 포함하여 일상적인 다양성에 관한 문제였습니다.
엘리스는“이국적인 취약점에 대해서는 아직 들어 본 적이 없지만 여전히 데이터를 분석하고있다”고 말했다.
Bugcrowd는 발견되지 않은 버그 유형에 대한 자세한 내용과 나중에 이벤트에 대한 정보를 공개 할 계획입니다. 샌프란시스코에 기반을 둔 스타트 업은 웹 사이트 및 응용 프로그램에서 버그를 찾기 위해 여러 사람들이 협력하는 프로그램을 실행합니다. 보고 된 버그가 합법적임을 확인하면 적절한 공급 업체에 알리는 프로세스를 처리합니다.
버그 바운티
버그 현상금 프로그램은 점점 더 대중화되고 있습니다. 기업은 버그 보고서를 정부에 팔거나 브로커를 이용하도록 제안하는 대신 연구원이 버그 보고서를 직접 제출하도록 권장하고 있습니다. 버그를 공급 업체에보고하지 않으면 구매자는이 취약점을 자신의 목적으로 사용할 수 있으며 소프트웨어 결함으로부터 사용자를 보호 할 수 없습니다.
모질라와 구글은 아마도 가장 잘 알려진 버그 바운티 프로그램을 가지고 있지만, 다른 많은 회사들은 이제 일종의 프로그램을 제공합니다 (긴하지만 완전하지 않은 목록은 여기에 있습니다). 페이스 북은 지난 2 년 동안 8 백만 달러의 바운티를 지불했다고 발표했다.
모든 버그가이 프로그램에 적합한 것은 아닙니다. 예를 들어 Facebook은 "Facebook 사용자 데이터의 무결성을 손상 시키거나 Facebook 사용자 데이터의 개인 정보 보호를 우회하거나 Facebook 인프라 내의 시스템에 액세스 할 수있는"문제 만 해당 프로그램에서 다룰 수 있도록합니다. Microsoft는 최근에 일련의 상을 시작했으며 원하는 종류의 문제에 매우 구체적이었습니다.
버그 배쉬 2013
버그 바운티 프로그램은 지불하는 금액이 매우 다양하기 때문에이 시점에서 버그 배시의 일부로 발견 된 버그의 총 가치는 추정하기 어렵습니다. 일부 프로그램은 수백 달러를 지불하고 다른 프로그램은 수천 달러를 지불합니다. 또한 각 회사에는 버그로 인식되는 것과 버그 바운티 프로그램에서 다루는 문제의 유형에 대한 특정 규칙이 있습니다.
220 개의 버그가 제출되었지만 문제가 판매 대금을받을 자격이 있는지 여부를 결정하는 것은 공급 업체의 책임입니다. 대금이 지급 되더라도 금액을 결정하는 것은 공급 업체의 책임입니다. 그러나 200 개가 넘는 버그 중 하나라도 수백 달러에 불과하더라도 3 일 동안 몇 시간 작업해도 나쁘지 않습니다.
행사 기간 동안 페이스 북 담당자는 버그 바운티 프로그램에 대한 통찰력을 제공하고 참가자의 질문에 답변했습니다.
OWASP 재단의 이사회 멤버이자 AppSec USA의 주최자 중 한 명인 Tom Brennan은 다양한 기술에 대해 배우는 훈련 세션에 참여한 사람들이 그룹 해킹에 참여하기 위해 들렀다 고 말했다. 사람들은 목표를 달성하고 서로 도움을 요청하면서 협력하고있었습니다. 버그를 찾는 것은 사람들이 실제로보고있는 것에 대해 생각하고 그에 따라 기술을 조정해야하기 때문에 자동화 된 프로세스가 아닙니다. 브레넌은 사람들이 서로 아이디어를 b 수있는 협업 환경이 버그 사냥에 "매우 효과적"이라고 말했다.
