HackerOne предложила хакерам отработать навыки взлома в «песочнице»
Новости
«Песочницы» от HackerOne помогут начинающим исследователям находить и устранять уязвимости пяти типов, найденных в популярных сервисах в 2017−2018 годах.
3К открытий3К показов
HackerOne предоставила хакерам «песочницы» (выделенные среды для безопасного исполнения программ) для отработки навыков. Компания смоделировала их при поддержке HackEDU после устранения популярных уязвимостей на собственной платформе. С помощью акции HackerOne также планирует привлечь внимание к бесплатным онлайн-курсам Hacker101.
Бесплатное обучение от HackerOne
HackerOne создала пять «песочниц» для обучения разработчиков. Во время их прохождения пользователь получает информацию об уязвимости, её поиске и устранении:
- Кликджекинг. Атака обнаружена в мае 2018 года и проводилась через инструмент Player Card, используемый в Twitter для вставки видео. После размещения пользователем контента атакующий может внедрить компьютерного червя.
- XXE-инъекции. Уязвимость позволяет украсть файлы с сервера. Обнаружена в марте 2018 года.
- Удалённое выполнение вредоносного кода. Оно позволяет получить доступ на сервер. Обнаружена на Imgur в апреле 2017 года.
- SQL-инъекции. С помощью внедрения SQL-кода злоумышленник может украсть информацию из баз данных. Этот пример создан на основе баз WordPress, а атака обнаружена в ноябре 2017 года.
- Межсайтовый скриптинг. Он позволяет разместить на сайте поддельную страницу для получения данных пользователя. Уязвимость обнаружена в августе 2017 года.
Компания HackerOne также сотрудничала с Intel и помогла привлечь большее количество разработчиков к поиску уязвимостей. В середине февраля 2018 года Intel расширила программу вознаграждений за обнаружение ошибок безопасности в программном обеспечении и железе. Исследователи могли получить до 250 000 $.
3К открытий3К показов