In Seguridad Última actualizaciónated:
Comparte en:
Software de Jira es la herramienta de gestión de proyectos número uno utilizada por equipos ágiles para planificar, rastrear, lanzar y respaldar software excelente.

Sólo un hacker puede pensar como un hacker. Entonces, cuando se trata de convertirse en “hacker-proof”, es posible que deba recurrir a un hacker.

La seguridad de las aplicaciones siempre ha sido un tema candente que sólo ha adquirido importancia.otter con tiempo.

Incluso con una horda de herramientas defensivas y práctica a nuestra disposición (cortafuegos, SSL, criptografía asimétrica, etc.), ninguna aplicación basada en web puede afirmar que es segura más allá del alcance de los piratas informáticos.

¿Por qué es eso?

La sencilla razón es que la creación de software sigue siendo un proceso muy complejo y frágil. process. Todavía hay errores (conocidos y desconocidos) dentro de la base que utilizan los desarrolladores, y se están creando otros nuevos.ated con el lanzamiento de nuevo software y bibliotecas. Incluso las empresas tecnológicas de primer nivel están preparadas para pasar vergüenza ocasionalmente, y por una buena razón.

Estamos contratando . . . Hackers!

Dado que errores y vulnerabilidades probablemente nunca abandonará el ámbito del software, ¿dónde deja a las empresas que dependen de este software para sobrevivir? ¿Cómo puede, por ejemplo, una nueva aplicación de billetera estar segura de que resistirá los desagradables intentos de los piratas informáticos?

Sí, ya lo habrás adivinado: contratando hackers para que vengan y prueben este nuevo mintaplicación educativa! ¿Y por qué lo harían? Sólo porque se ofrece una recompensa lo suficientemente grande: ¡la recompensa por errores! 🙂

Si la palabra "recompensa" trae recuerdos del Salvaje Oeste y las balas disparadas sin abandono, esa es exactamente la idea aquí. De alguna manera, los piratas informáticos (expertos en seguridad) más expertos y de élite sondean su aplicación, y si encuentran algo, son recompensados.

Hay dos formas de hacerlo: 1) organizar una recompensa por errores por tu cuenta; 2) usar una recompensa por errores plat.

Recompensa por error: Self-alojado vs. platFormularios

¿Por qué te tomarías la molestia de seleccionar (y pagar) una recompensa por errores? platformulario cuando simplemente puedes alojarlo por tu cuenta. Quiero decir, solo create una página con los detalles relevantes y hacer algo de ruido en las redes sociales. Obviamente no puede fallar, ¿verdad?

Bueno, esa es una buena idea, pero mírala desde la perspectiva del hacker. Luchar por encontrar errores no es una tarea fácil, ya que requiere varios años de capacitación, virtualmente.ally conocimiento ilimitado de cosas viejas y nuevas, toneladas de determinación y más creatividad que la que tienen la mayoría de los “diseñadores visuales” (lo siento, ¡no pude resistirme a eso! :-P).

El hacker no sabe quién es usted o no está seguro de que pagará. O tal vez, no es motivoated. SelfLas recompensas alojadas funcionan para gigantes como Google, Apple, Facebook, etc., cuyos nombres la gente puede incluir en su cartera con orgullo. “Se encontró una vulnerabilidad de inicio de sesión crítica en la aplicación HRMS desarrollada por XYZ Tech Systems” no suena impresionante, ¿verdad (con las debidas disculpas a cualquier empresa que pueda parecerse a este nombre)?

Luego hay otras razones prácticas (y abrumadoras) para no ir solo cuando se trata de recompensas de errores.

Falta de infraestructura

Los "hackers" de los que hemos estado hablando no son los que acechan a la Dark Web.

Esos no tienen tiempo ni paciencia para nuestro mundo “civilizado”. En cambio, estamos hablando aquí de investigadores con experiencia en informática que están en una universidad o han sido recompensados. hunters durante mucho tiempo. Estas personas quieren y envían información en un formato específico, lo cual es una molestia.self acostumbrarse a.

Incluso sus mejores desarrolladores tendrán dificultades para mantenerse al día y el costo de oportunidad puede resultar demasiado alto.

Resolución de envíos

finalally, está la cuestión de proof. El software puede basarse en reglas totalmente deterministas, pero exactamente cuándo se cumple un requisito particular es algo que debe determinarse.ate. Pongamos un ejemplo para entender esto mejor.

Supongamos que createda recompensa por errores de autenticación y autorización. Es decir, usted afirma que su sistema está libre de los riesgos de suplantación de identidad, que los piratas informáticos tienen que subvertir.

Ahora, el hacker ha encontrado una debilidad basada en cómo un b en particularrowser funciona, lo que les permite steal token de sesión de un usuario e impersonalate de ellas.

¿Es un hallazgo válido?

Desde la perspectiva del hacker, definitivamente, una infracción es una infracción. Desde su perspectiva, tal vez no, porque o cree que esto cae dentro del ámbito de la responsabilidad del usuario o que browser simplemente no es una preocupación para su mercado objetivo.

Si todo este drama estuviera sucediendo gracias a una recompensa por errores platforma, habría capaz arbiters para decidir el impact del descubrimiento y cerrar el asunto.

Dicho esto, veamos algunas de las recompensas de errores más populares. platformas por ahí.

SíWeHack

SíWeHack es una recompensa global por errores platformulario que ofrece divulgación de vulnerabilidades y seguridad colaborativa en muchos países como Francia, Alemania, Suiza y Singapur. Proporciona una solución disruptiva de Bug Bounty para abordar las amenazas que aumentan con el aumento de la agilidad empresarial donde las herramientas tradicionales ya no cumplen con las expectativas.

YesWeHack le permite acceder al grupo virtual de piratas informáticos éticos y maximizar las capacidades de prueba. Selecciona el hunterque desee y envíe los osciloscopios para probarlos o compártalos con la comunidad YesWeHack. Sigue algunas regulaciones y estándares estrictos para salvaguardar los intereses de hunters así como el tuyo.

Mejore la seguridad de su aplicación leverenvejeciendo el hunter capacidad de respuesta y minimizar el tiempo de reparación y detección de vulnerabilidades. Podrás ver la diferencia una vez que inicies el programa.

Recompensa por error abierto

¿Está pagando de más por los programas de recompensas por errores?

Intente Recompensa por error abierto para pruebas de seguridad de multitudes.

Se trata de un programa impulsado por la comunidad, abierto, gratuito y desintermedido.ated recompensa de errores platforma. Además, ofrece responsabilidad y coordinación.ated divulgación de vulnerabilidad compatible con ISO 29147. A este date, ha ayudado a corregir más de 641 vulnerabilidades.

Investigadores y profesionales de seguridad de sitios líderes como WikiHow, Twitter, Verizon, IKEA, MIT, la Universidad de Berkeley, Philips, Yamaha y más han utilizado Open Bug Bounty platforma a resolve sus problemas de seguridad, como vulnerabilidades XSS, Inyecciones SQL, etc. Puede encontrar profesionales altamente capacitados y receptivos para hacer su trabajo rápidamente.

gran pirata informático

Entre los programas de recompensas por errores, gran pirata informático es el líder cuando se trata de acceder a los piratas informáticos, crear sus programas de recompensas, correr la voz y evaluar las contribuciones.

Hay dos formas de utilizar Hackerone: utilice el platformulario para recopilar informes de vulnerabilidad y resolverlosself o dejar que los expertos de Hackerone hagan el trabajo duro (clasificación). La clasificación es simplemente la process de compilar informes de vulnerabilidad, verificarlos y comunicarse con los piratas informáticos.

Hackerone es utilizado por grandes nombres como Google Play, PayPal, GitHub, Starbucks y similares, así que, por supuesto, es para aquellos que tienen errores graves y bolsillos graves. 😉

Bugcrowd

Bugcrowd ofrece varias soluciones para evaluaciones de seguridad, una de ellas es Bug Bounty. Proporciona una solución SaaS que integraateSe integra fácilmente en el ciclo de vida de su software existente y facilita la ejecución de un programa de recompensas por errores exitoso.

Puedes elegir tener un privilegio.ate programa de recompensas por errores que involucra a unos pocos piratas informáticos selectos o uno público que colabora con miles de personas.

dedicoated asesor de seguridad, hacker en profundidad profiarchivos, participación solo por invitación: todo se proporciona según sus necesidades y la madurez de su modelo de seguridad.

intigriti

intigriti es una recompensa de errores completa platformulario que lo conecta con hackers de sombrero blanco, ya sea que desee ejecutar unate programa o uno público.

Para los piratas informáticos, hay muchas recompensas agarrar. Dependiendo del tamaño de la empresa y la industria, se encuentran disponibles búsquedas de errores que van desde € 1,000 a € 20,000.

Sinack

Synack parece ser una de esas excepciones del mercado que rompen el molde y terminan haciendo algo masivo. Su programa de seguridad Hackear el pentágono fue lo más destacado, lo que llevó al descubrimiento de varias vulnerabilidades críticas.

Entonces, si está buscando no solo el descubrimiento de errores, sino también orientación y capacitación en seguridad al nivel superior, Sinack es el camino a seguir.

Para Concluir

Así como se mantiene alejado de los curanderos que proclaman “curas milagrosas”, aléjese de cualquier sitio web o servicio que diga bala.proof La seguridad es posible. Lo único que podemos hacer es dar un paso más hacia el ideal. Como tal, no se debe esperar que los programas de recompensas por errores produzcan zero-Aplicaciones con errores, pero deben verse como una cadena esencial.ategy en eliminar el really los desagradables.

Mire este pequeño curso de caza de recompensas de errores para aprender y ganar fama, recompensas y reconocimiento.

Obtenga más información sobre las Los programas de recompensas por errores más grandes del mundo..

¡Espero que elimines muchos de ellos! 🙂

Comparte en:
  • Ankush
    Autor
    Escribo sobre, alrededor y para el desarrollador. ecossistema. Recomendaciones, tutoriales, discusiones técnicas: ¿por qué?ateCada vez que publico, hago todo lo posible para eliminar la confusión y las tonterías, y proporcionar respuestas prácticas basadas en la experiencia personal...

Gracias a nuestros patrocinadores

Más lecturas interesantes sobre seguridad

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Intente Murf AI
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder