Top 5 des plates-formes Bug Bounty pour les organisations afin d’améliorer la sécurité des applications

Seul un pirate peut penser comme un pirate. Donc, quand il s’agit de devenir «à l’épreuve des pirates», vous devrez peut-être vous tourner vers un pirate.


La sécurité des applications a toujours été un sujet brûlant qui n’a fait que se réchauffer avec le temps.

Même avec une horde d’outils défensifs et de pratiques à notre disposition (pare-feu, SSL, cryptographie asymétrique, etc.), aucune application Web ne peut prétendre qu’elle est sécurisée hors de la portée des pirates.

Pourquoi donc?

La raison simple est que la construction de logiciels reste un processus très complexe et fragile. Il y a encore des bogues (connus et inconnus) à l’intérieur de la fondation que les développeurs utilisent, et de nouveaux sont en cours de création avec le lancement de nouveaux logiciels et bibliothèques. Même les entreprises technologiques de premier plan sont prêtes à être gênées occasionnellement, et c’est une bonne raison.

Nous embauchons . . . Les pirates!

Étant donné que les bogues et les vulnérabilités ne quitteront probablement jamais le domaine du logiciel, où cela laisse-t-il les entreprises dépendantes de ce logiciel pour leur survie? Comment, par exemple, une nouvelle application de portefeuille, assurez-vous qu’elle résistera aux vilaines tentatives des pirates?

Oui, vous l’avez deviné: en embauchant des hackers pour venir faire un crack sur cette application nouvellement créée! Et pourquoi le feraient-ils? Tout simplement parce qu’il y a une prime assez importante à offrir – la prime aux bogues! ��

Si le mot «bounty» rappelle des souvenirs du Far West et des balles tirées sans abandon, c’est exactement l’idée ici. Vous obtenez en quelque sorte les pirates les plus élites et les plus compétents (experts en sécurité) pour sonder votre application, et s’ils trouvent quelque chose, ils sont récompensés.

Il y a deux façons de procéder: 1) héberger vous-même une prime de bogue; 2) Utiliser une plateforme de bug bounty.

Bug Bounty: auto-hébergé vs plates-formes

Pourquoi voudriez-vous vous donner la peine de sélectionner (et de payer) une plate-forme de prime aux bogues alors que vous pouvez simplement l’héberger vous-même. Je veux dire, créez simplement une page avec les détails pertinents et faites du bruit sur les réseaux sociaux. Cela ne peut évidemment pas échouer, non?

Le pirate n’est pas convaincu!

Eh bien, c’est une bonne idée ici, mais regardez-la du point de vue du pirate. Se bousculer pour les bogues n’est pas une tâche facile, car cela nécessite plusieurs années de formation, une connaissance pratiquement illimitée des choses anciennes et nouvelles, des tonnes de détermination et plus de créativité que la plupart des «concepteurs visuels» (désolé, je n’ai pas pu résister à cela!: -P).

Le pirate ne sait pas qui vous êtes ou n’est pas sûr de payer. Ou peut-être, n’est pas motivé. Les primes auto-hébergées fonctionnent pour des mastodontes comme Google, Apple, Facebook, etc., dont les noms peuvent être fiers de leur portefeuille. “Trouvé une vulnérabilité de connexion critique dans l’application HRMS développée par XYZ Tech Systems” ne semble pas impressionnant, maintenant, n’est-ce pas (avec toutes mes excuses à toute entreprise qui pourrait ressembler à ce nom!)?

Ensuite, il existe d’autres raisons pratiques (et écrasantes) de ne pas se lancer seul en matière de primes de bogues.

Manque d’infrastructure

Les «hackers» dont nous avons parlé ne sont pas ceux qui traquent le Dark Web.

Ceux-ci n’ont ni temps ni patience pour notre monde «civilisé». Au lieu de cela, nous parlons ici de chercheurs issus de l’informatique qui sont soit à l’université, soit chasseurs de primes depuis longtemps. Ces gens veulent et soumettent des informations dans un format spécifique, ce qui est une douleur en soi pour s’habituer à.

Même vos meilleurs développeurs auront du mal à suivre le rythme, et le coût d’opportunité pourrait s’avérer trop élevé.

Résolution des soumissions

Enfin, il y a la question de la preuve. Les logiciels peuvent être construits sur des règles entièrement déterministes, mais le moment précis où une exigence particulière est satisfaite fait l’objet d’un débat. Prenons un exemple pour mieux comprendre cela.

Supposons que vous ayez créé une prime de bogue pour les erreurs d’authentification et d’autorisation. Autrement dit, vous prétendez que votre système est exempt des risques d’usurpation d’identité, que les pirates doivent subvertir.

Maintenant, le pirate a trouvé une faiblesse basée sur le fonctionnement d’un navigateur particulier, qui leur permet de voler le jeton de session d’un utilisateur et de se faire passer pour lui..

Est-ce une conclusion valable?

Du point de vue du pirate, certainement, car une violation est une violation. De votre point de vue, peut-être pas, car soit vous pensez que cela relève de la responsabilité de l’utilisateur, soit ce navigateur n’est tout simplement pas une préoccupation pour votre marché cible..

Si tout ce drame se produisait sur une plate-forme de prime aux bogues, il y aurait des arbitres capables de décider de l’impact de la découverte et de résoudre le problème.

Cela dit, regardons quelques-unes des plates-formes de primes aux bogues populaires.

Hackerone

Parmi les programmes de bug bounty, Hackerone est le leader en ce qui concerne l’accès aux pirates, la création de vos programmes de primes, la diffusion de l’information et l’évaluation des contributions.

Vous pouvez utiliser Hackerone de deux manières: utilisez la plate-forme pour collecter des rapports de vulnérabilité et élaborez-les vous-même ou laissez les experts de Hackerone faire le travail (tri). Le tri est simplement le processus de compilation des rapports de vulnérabilité, de vérification et de communication avec les pirates.

Hackerone est utilisé par de grands noms comme Google Play, PayPal, GitHub, Starbucks, etc., donc bien sûr, c’est pour ceux qui ont de graves bugs et des poches sérieuses. ��

Bugcrowd

Bugcrowd propose plusieurs solutions pour les évaluations de sécurité, l’une d’entre elles étant Bug Bounty. Il fournit une solution SaaS qui s’intègre facilement dans le cycle de vie de votre logiciel existant et en fait un jeu d’enfant pour exécuter un programme de primes de bogues réussi.

Vous pouvez choisir d’avoir un programme de prime de bogue privé qui implique quelques pirates ou un public qui se source en milliers..

SafeHats

Si vous êtes une entreprise et que vous ne vous sentez pas à l’aise de rendre public votre programme de bug bounty – et en même temps avez besoin de plus d’attention que ce qui peut être offert par une plate-forme typique de bug bounty – SafeHats est votre pari le plus sûr (jeu de mots terrible, hein?).

Conseiller de sécurité dédié, profils de pirate en profondeur, participation sur invitation uniquement – tout est fourni en fonction de vos besoins et de la maturité de votre modèle de sécurité.

Intigriti

Intigriti est une plate-forme complète de bug bounty qui vous connecte avec les pirates du chapeau blanc, que vous souhaitiez exécuter un programme privé ou public.

Pour les pirates, il y a plein de primes attraper. Selon la taille et l’industrie de l’entreprise, des chasses aux bugs de 1 000 à 20 000 € sont proposées.

Synack

Synack semble être l’une de ces exceptions du marché qui brisent le moule et finissent par faire quelque chose d’énorme. Leur programme de sécurité Pirater le Pentagone a été le point culminant, conduisant à la découverte de plusieurs vulnérabilités critiques.

Donc, si vous recherchez non seulement la découverte de bogues, mais également des conseils de sécurité et une formation de haut niveau, Synack est le chemin à parcourir.

Conclusion

Tout comme vous vous tenez éloigné des guérisseurs qui proclament des «remèdes miracles», restez à l’écart de tout site Web ou service qui dit qu’une sécurité pare-balles est possible. Tout ce que nous pouvons faire, c’est avancer d’un pas vers l’idéal. En tant que tel, les programmes de bug bounty ne devraient pas produire d’applications zéro bug, mais devraient être considérés comme une stratégie essentielle pour éliminer celles qui sont vraiment désagréables..

Regarde ça cours de chasse aux insectes si vous cherchez à apprendre et à gagner le Temple de la renommée, des récompenses, de l’appréciation.

J’espère que vous écraserez beaucoup de bugs! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map