Найти тему
Типичный программист

HackerOne предложила хакерам отработать навыки взлома в «песочнице»

TheDigitalArtist
TheDigitalArtist

HackerOne предоставила хакерам «песочницы» (выделенные среды для безопасного исполнения программ) для отработки навыков. Компания смоделировала их при поддержке HackEDU после устранения популярных уязвимостей на собственной платформе. С помощью акции HackerOne также планирует привлечь внимание к бесплатным онлайн-курсам Hacker101.

Бесплатное обучение от HackerOne

HackerOne создала пять «песочниц» для обучения разработчиков. Во время их прохождения пользователь получает информацию об уязвимости, её поиске и устранении:

  • Кликджекинг. Атака обнаружена в мае 2018 года и проводилась через инструмент Player Card, используемый в Twitter для вставки видео. После размещения пользователем контента атакующий может внедрить компьютерного червя.
  • XML External Entity. Уязвимость позволяет украсть файлы с сервера. Обнаружена в марте 2018 года.
  • Remote Code Execution. Удалённое выполнение вредоносного кода позволяет получить доступ на сервер. Обнаружена на Imgur в апреле 2017 года.
  • SQL Injection Attack. С помощью внедрения SQL-кода злоумышленник может украсть информацию из баз данных. Этот пример создан на основе баз WordPress, а атака обнаружена в ноябре 2017 года.
  • Cross-Site Scripting. Межсайтовый скриптинг позволяет разместить на сайте поддельную страницу для получения данных пользователя. Уязвимость обнаружена в августе 2017 года.

Компания HackerOne также сотрудничала с Intel и помогла привлечь большее количество разработчиков к поиску уязвимостей. В середине февраля 2018 года Intel расширила программу вознаграждений за обнаружение ошибок безопасности в программном обеспечении и железе. Исследователи могли получить до 250 000 $.

Source: HackerOne