HackerOne предложила хакерам отработать навыки взлома в «песочнице»

HackerOne обложка

HackerOne предоставила хакерам «песочницы» (выделенные среды для безопасного исполнения программ) для отработки навыков. Компания смоделировала их при поддержке HackEDU после устранения популярных уязвимостей на собственной платформе. С помощью акции HackerOne также планирует привлечь внимание к бесплатным онлайн-курсам Hacker101.

Бесплатное обучение от HackerOne

HackerOne создала пять «песочниц» для обучения разработчиков. Во время их прохождения пользователь получает информацию об уязвимости, её поиске и устранении:

  • Кликджекинг. Атака обнаружена в мае 2018 года и проводилась через инструмент Player Card, используемый в Twitter для вставки видео. После размещения пользователем контента атакующий может внедрить компьютерного червя.
  • XXE-инъекции. Уязвимость позволяет украсть файлы с сервера. Обнаружена в марте 2018 года.
  • Удалённое выполнение вредоносного кода. Оно позволяет получить доступ на сервер. Обнаружена на Imgur в апреле 2017 года.
  • SQL-инъекции. С помощью внедрения SQL-кода злоумышленник может украсть информацию из баз данных. Этот пример создан на основе баз WordPress, а атака обнаружена в ноябре 2017 года.
  • Межсайтовый скриптинг. Он позволяет разместить на сайте поддельную страницу для получения данных пользователя. Уязвимость обнаружена в августе 2017 года.

Компания HackerOne также сотрудничала с Intel и помогла привлечь большее количество разработчиков к поиску уязвимостей. В середине февраля 2018 года Intel расширила программу вознаграждений за обнаружение ошибок безопасности в программном обеспечении и железе. Исследователи могли получить до 250 000 $.

via Bleeping Computer
Source: HackerOne