Top 7 Bug Bounty-platforms voor organisaties om de beveiliging te verbeteren

Alleen een hacker kan denken als een hacker. Dus als het erom gaat “hackerbestendig” te worden, moet u zich mogelijk tot een hacker wenden.

Applicatiebeveiliging is altijd een hot topic geweest dat met de tijd alleen maar hotter is geworden.

Zelfs met een horde defensieve tools en praktijken tot onze beschikking (firewalls, SSL, asymmetrische cryptografie, enz.), kan geen enkele webtoepassing beweren dat deze veilig is buiten het bereik van hackers.

Waarom is dat?

De simpele reden is dat het bouwen van software een zeer complex en broos proces blijft. Er zijn nog steeds bugs (bekend en onbekend) in de foundation die ontwikkelaars gebruiken, en er worden nieuwe gemaakt met de lancering van nieuwe software en bibliotheken. Zelfs de toptechnologiebedrijven zijn klaar voor incidentele verlegenheid, en met een goede reden.

Nu huren. . . Hackers!

Gezien het feit dat bugs en kwetsbaarheden het softwarerijk waarschijnlijk nooit zullen verlaten, waar blijven de bedrijven die afhankelijk zijn van deze software om te overleven? Hoe kan een nieuwe portemonnee-app er bijvoorbeeld zeker van zijn dat hij bestand is tegen de vervelende pogingen van hackers?

Ja, je raadt het al: door hackers in te huren om deze nieuw ontwikkelde app te komen kraken! En waarom zouden ze? Gewoon omdat er een premie is die groot genoeg is – de bugbounty!

Als het woord ‘bounty’ herinneringen oproept aan het Wilde Westen en kogels die onophoudelijk worden afgevuurd, is dat precies het idee hier. Op de een of andere manier krijg je de meest elite en deskundige hackers (beveiligingsexperts) om je app te onderzoeken, en als ze iets vinden, worden ze beloond.

Er zijn twee manieren om dit aan te pakken: 1) zelf een bug bounty organiseren; 2) met behulp van een bug bounty-platform.

Bug Bounty: zelf-gehost versus platforms

Waarom zou je de moeite nemen om een ​​bug bounty-platform te selecteren (en te betalen) als je het gewoon zelf kunt hosten. Ik bedoel, maak gewoon een pagina aan met de relevante details en maak wat lawaai op sociale media. Het kan natuurlijk niet mislukken, toch?

Hacker is niet overtuigd!

Nou, dat is een goed idee, maar bekijk het vanuit het perspectief van de hacker. Het is geen gemakkelijke taak om op bugs te jagen, want het vereist een aantal jaren training, vrijwel onbeperkte kennis van oude en nieuwe dingen, veel vastberadenheid en meer creativiteit dan de meeste “visuele ontwerpers” hebben (sorry, die kon ik niet weerstaan! :-P).

  Hoe u uw favoriete voorkeurenvensters aan het Mac Dock kunt toevoegen

De hacker weet niet wie je bent of weet niet zeker of je gaat betalen. Of misschien, is niet gemotiveerd. Zelf-gehoste premies werken voor juggernauts zoals Google, Apple, Facebook, enz., wiens namen mensen met trots op hun portfolio kunnen zetten. “Er is een kritieke kwetsbaarheid voor inloggen gevonden in de HRMS-app die is ontwikkeld door XYZ Tech Systems” klinkt niet indrukwekkend, nietwaar (met excuses aan elk bedrijf dat op deze naam lijkt!)?

Dan zijn er nog andere praktische (en overweldigende redenen) om niet solo te gaan als het gaat om bug bounties.

Gebrek aan infrastructuur

De “hackers” waar we het over hadden, zijn niet degenen die het Dark Web stalken.

Die hebben geen tijd of geduld voor onze “beschaafde” wereld. In plaats daarvan hebben we het hier over onderzoekers met een computerwetenschappelijke achtergrond die ofwel aan een universiteit zitten of al lange tijd premiejagers zijn. Deze mensen willen en dienen informatie in een specifiek formaat in, wat op zich al lastig is om aan te wennen.

Zelfs uw beste ontwikkelaars zullen moeite hebben om bij te blijven, en de alternatieve kosten kunnen te hoog blijken te zijn.

Inzendingen oplossen

Ten slotte is er de kwestie van het bewijs. De software is misschien gebouwd op volledig deterministische regels, maar wanneer precies aan een bepaalde vereiste wordt voldaan, staat ter discussie. Laten we een voorbeeld nemen om dit beter te begrijpen.

Stel dat u een bug bounty hebt gemaakt voor authenticatie- en autorisatiefouten. Dat wil zeggen, u beweert dat uw systeem vrij is van de risico’s van imitatie, die de hackers moeten ondermijnen.

Nu heeft de hacker een zwak punt gevonden op basis van hoe een bepaalde browser werkt, waardoor hij de sessietoken van een gebruiker kan stelen en zich voor deze persoon kan voordoen.

Is dat een geldige bevinding?

Vanuit het perspectief van de hacker is een inbreuk zeker een inbreuk. Vanuit jouw perspectief, misschien niet, omdat je denkt dat dit onder de verantwoordelijkheid van de gebruiker valt of dat browser gewoon geen probleem is voor je doelmarkt.

Als al dit drama zich afspeelde op een bug bounty-platform, zouden er capabele arbiters zijn om de impact van de ontdekking te beslissen en het probleem op te lossen.

Dat gezegd hebbende, laten we eens kijken naar enkele van de populaire bug bounty-platforms die er zijn.

  Waar is mijn iPhone of iPad een back-up op een pc of Mac?

YesWeHack

YesWeHack is een wereldwijd bug bounty-platform dat openbaarmaking van kwetsbaarheden en crowdsourced-beveiliging biedt in veel landen, zoals Frankrijk, Duitsland, Zwitserland en Singapore. Het biedt een ontwrichtende oplossing van Bug Bounty om de bedreigingen aan te pakken die toenemen met de toename van de zakelijke wendbaarheid waar traditionele tools niet langer aan de verwachtingen voldoen.

YesWeHack geeft je toegang tot de virtuele pool van ethische hackers en maximaliseert de testmogelijkheden. Selecteer de gewenste jagers en dien de te testen scopes in of deel ze met de YesWeHack-community. Het volgt een aantal strikte voorschriften en normen om de belangen van zowel jagers als die van u te beschermen.

Verbeter de beveiliging van uw app door gebruik te maken van het reactievermogen van de jager en minimaliseer de hersteltijd en detectie van kwetsbaarheden. U zult het verschil kunnen zien zodra u het programma start.

Bug Bounty openen

Betaalt u te veel voor bug bounty-programma’s?

Proberen Bug Bounty openen voor het testen van menigtebeveiliging.

Dit is een door de gemeenschap aangestuurd, open, gratis en ongeïntermediateerd bug bounty-platform. Bovendien biedt het verantwoorde en gecoördineerde openbaarmaking van kwetsbaarheden die compatibel zijn met ISO 29147. Tot op heden heeft het geholpen bij het oplossen van meer dan 641k kwetsbaarheden.

Beveiligingsonderzoekers en professionals van toonaangevende sites zoals WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha en meer hebben het Open Bug Bounty-platform gebruikt om hun beveiligingsproblemen op te lossen, zoals XSS-kwetsbaarheden, SQL-injecties, enz. U kunt zeer deskundige en responsieve professionals vinden om uw werk snel gedaan te krijgen.

Hackerone

Onder de bug bounty-programma’s, Hackerone is de leider als het gaat om toegang tot hackers, het maken van uw premieprogramma’s, het verspreiden van het woord en het beoordelen van de bijdragen.

Er zijn twee manieren waarop je Hackerone kunt gebruiken: gebruik het platform om kwetsbaarheidsrapporten te verzamelen en werk deze zelf uit of laat de experts van Hackerone het harde werk doen (triaging). Triaging is eenvoudigweg het proces van het samenstellen van kwetsbaarheidsrapporten, het verifiëren ervan en het communiceren met hackers.

Hackerone wordt gebruikt door grote namen zoals Google Play, PayPal, GitHub, Starbucks en dergelijke, dus het is natuurlijk voor degenen met ernstige bugs en serieuze zakken.

Bugcrowd

Bugcrowd biedt verschillende oplossingen voor beveiligingsbeoordelingen, waaronder Bug Bounty. Het biedt een SaaS-oplossing die eenvoudig kan worden geïntegreerd in uw bestaande softwarelevenscyclus en het een fluitje van een cent maakt om een ​​succesvol bug bounty-programma uit te voeren.

  Hoe u kunt beperken wie op uw tweets kan reageren

Je kunt ervoor kiezen om een ​​privé bug bounty-programma te hebben waarbij een select aantal hackers betrokken is of een openbare die duizenden mensen crowdsourcet.

VeiligHoeden

Als je een onderneming bent en je je niet op je gemak voelt om je bug bounty-programma openbaar te maken – en tegelijkertijd meer aandacht nodig hebt dan kan worden geboden door een typisch bug bounty-platform – VeiligHoeden is je veiligste gok (vreselijke woordspeling, hè?).

Toegewijde beveiligingsadviseur, diepgaande hackerprofielen, deelname alleen op uitnodiging – het wordt allemaal aangeboden, afhankelijk van uw behoeften en volwassenheid van uw beveiligingsmodel.

Intigriti

Intigriti is een uitgebreid bug bounty-platform dat u in contact brengt met white hat-hackers, of u nu een privéprogramma of een openbaar programma wilt uitvoeren.

Voor hackers is er genoeg premies pakken. Afhankelijk van de grootte van het bedrijf en de branche zijn er bug-hunts beschikbaar van € 1.000 tot € 20.000.

Synack

Synack lijkt een van die marktuitzonderingen te zijn die de mal doorbreken en uiteindelijk iets enorms doen. Hun beveiligingsprogramma Hack het Pentagon was het belangrijkste hoogtepunt, wat leidde tot de ontdekking van verschillende kritieke kwetsbaarheden.

Dus als u niet alleen op zoek bent naar het ontdekken van bugs, maar ook naar beveiligingsbegeleiding en training op het hoogste niveau, Synack is de weg te gaan.

Conclusie

Net zoals je uit de buurt blijft van genezers die ‘wondermiddelen’ verkondigen, blijf alsjeblieft weg van elke website of service die zegt dat kogelvrije beveiliging mogelijk is. Het enige wat we kunnen doen is een stap dichter bij het ideaal komen. Als zodanig mag van bug bounty-programma’s niet worden verwacht dat ze toepassingen zonder fouten produceren, maar moeten ze worden gezien als een essentiële strategie om de echt vervelende te verwijderen.

Kijk hier eens naar cursus bug bounty jacht om te leren en roem, beloningen en waardering te krijgen.

Leer meer over de grootste bug bounty-programma’s ter wereld.

Ik hoop dat je veel van die bugs verplettert!

gerelateerde berichten