Die meisten multinationalen Unternehmen haben Programme Bug Bounty, die unabhängige Forscher ermutigen zu lokalisieren und Schwachstellen zu berichten. Facebook keine Ausnahme machen. In der Tat, das populäre soziale Netzwerk hat viel Geld für Fehler Berichte seit seiner Bounty Programm ausgegeben wurde initiiert in 2011.
Facebook gibt Millionen von Dollar auf Fehlerberichte
Wie durch Sicherheitsforscher Reginaldo Silva enthüllt, Facebook hat verschleudert ca. $4.3 Millionen auf mehr als 2,400 Fehlerberichte, gesendet von 800 Forscher seit 2011.
Die meisten der gemeldeten Sicherheitslücken schließen
- XSS (Cross-Site Scripting) Bugs
- CSRF (Cross-Site-Anfrage Fälschung) Bugs
- Business-Logik Fehler (Schwachstellen)
Lesen Sie mehr Facebook XSS Bugs
Was ist ein Business-Logik-Vulnerability?
Sicherheitsprobleme können als Schwäche in einer Anwendung beschrieben werden, die von einer gebrochenen oder fehlender Sicherheitskontrolle wie Authentifizierung erscheinen, Zugangskontrolle, Eingabevalidierung. Zusamenfassend, Business-Logik-Schwachstellen sind einfach Möglichkeiten, eine App legitimen Verarbeitungsablauf in eine Weise verwenden, die auf die jeweilige Organisation zu einer negativen Konsequenz führt.
Reginaldo Silva wurde die größte Prämie Zahlung vergeben - im 2014. Dies ist, was Facebook über seine Fehler Entdeckungen gesagt hat:
Wir vergeben vor kurzem unsere größte Auszahlung Bug Bounty je, und da es ist eine großartige Bestätigung des Programms wir haben den Aufbau und läuft seit 2011, Wir dachten, dass wir ein paar Minuten dauern würde das Problem und unsere Antwort zu beschreiben. [...] Reginaldo Silva erklärt in dem Beitrag, dass es sich bei dem Problem um eine XML-Schwachstelle in externen Entitäten gehandelt habe, die es jemandem hätte ermöglichen können, beliebige Dateien auf dem Webserver zu lesen. Sofort, wir implementiert ein Update durch einen Flag Spiegeln unserer XML-Parsing-Bibliothek zu bewirken, dass die Auflösung von externen Entitäten nicht zulassen.
Was ist mit anderen Bug Bounties? In 2015 verbrachte etwas weniger als 2014 – $936,000. Die Summe wurde aufgeteilt auf 210 Forscher im Austausch für die Berichterstattung 526 Bugs. Die durchschnittliche Größe eines Bug Bounty war $1,780. Indische Forscher waren auf der Spitze des "Bug Bounty Kette 'in 2014 und 2015. Außerdem, Experten aus Ägypten und Trinidad, die Zahlen im Vergleich zu den USA und Großbritannien Forscher führen.
[…] die Qualität der Berichte, die wir erhalten wird immer besser im Laufe der Zeit, sowohl in Bezug auf klare Schritt-für-Schritt-Anleitungen, die Frage sowie nachdenkliche Erörterung der potenziellen Gefahr für Menschen zu reproduzieren, die Facebook nutzen.
Der Forscher glaubt, dass die Business-Logik Fehler Facebook Regeln innerhalb ihrer Codebasis verwenden helfen und damit ganze Klassen von Fehlern zu beseitigen. Abschließend, indem Sie auf qualitativ hochwertige Berichte Fokussierung und Geschäftslogik Fehler, es ist einfacher für Forscher Schwachstellen zu klassifizieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: