해커만이 해커처럼 생각할 수 있습니다. 따라서 “해커 방지”가 되려면 해커에게 문의해야 할 수 있습니다.
애플리케이션 보안은 시간이 지날수록 점점 더 뜨거워지는 주제였습니다.
우리가 마음대로 사용할 수 있는 수많은 방어 도구와 실행(방화벽, SSL, 비대칭 암호화 등)이 있더라도 웹 기반 응용 프로그램은 해커의 손이 닿지 않는 범위에서 안전하다고 주장할 수 없습니다.
왜 그런 겁니까?
간단한 이유는 소프트웨어 구축이 여전히 매우 복잡하고 부서지기 쉬운 프로세스이기 때문입니다. 재단 개발자가 사용하는 버그(알려진 것과 알 수 없는 것)가 여전히 있으며, 새로운 소프트웨어와 라이브러리가 출시되면서 새로운 버그가 만들어지고 있습니다. 최고 수준의 기술 회사조차도 이따금 당황할 준비가 되어 있으며 그럴만한 이유가 있습니다.
목차
지금 고용 . . . 해커!
버그와 취약점이 소프트웨어 영역을 절대 벗어나지 않을 것이라는 점을 감안할 때 비즈니스가 살아남기 위해 이 소프트웨어에 의존하게 되는 이유는 무엇입니까? 예를 들어, 새로운 지갑 앱이 해커의 사악한 시도에 맞서 싸울 수 있다고 어떻게 확신할 수 있습니까?
네, 지금쯤 짐작하셨을 겁니다. 해커를 고용하여 이 새로 제작된 앱에 균열을 가할 수 있습니다! 왜 그럴까요? 충분히 큰 현상금이 제공되기 때문입니다. 바로 버그 현상금입니다! 🙂
현상금이라는 단어가 서부 개척 시대와 총알이 포기하지 않고 발사되는 기억을 떠올리게 하는 것이라면 바로 그 아이디어입니다. 어떻게 해서든 가장 엘리트적이고 지식이 풍부한 해커(보안 전문가)를 확보하여 앱에 대한 정보를 제공하고 그들이 무언가를 발견하면 보상을 받습니다.
두 가지 방법이 있습니다. 1) 스스로 버그 현상금을 주최합니다. 2) 버그 현상금 플랫폼 사용.
버그 바운티: 자체 호스팅 vs. 플랫폼
단순히 자체적으로 호스팅할 수 있는데 왜 버그 현상금 플랫폼을 선택(및 지불)해야 합니까? 내 말은, 관련 세부 정보가 포함된 페이지를 만들고 소셜 미디어에서 약간의 소음을 내기만 하면 됩니다. 당연히 실패할 수 없겠죠?
해커는 확신하지 못합니다!
글쎄요, 그것은 좋은 생각입니다. 하지만 해커의 관점에서 보십시오. 버그를 찾아 헤매는 것은 쉬운 일이 아닙니다. 몇 년의 훈련, 오래되고 새로운 것에 대한 사실상 무한한 지식, 엄청난 결단력, 그리고 대부분의 “비주얼 디자이너”가 가지고 있는 것보다 더 많은 창의성이 필요하기 때문입니다(미안, 나는 그것에 저항할 수 없었습니다! :-피).
해커는 당신이 누구인지 모르거나 당신이 지불할 것인지 확신하지 못합니다. 또는 동기가 부여되지 않습니다. 자체 호스팅 현상금은 사람들이 자신의 포트폴리오에 자부심을 갖고 이름을 올릴 수 있는 Google, Apple, Facebook 등과 같은 거대 기업을 대상으로 합니다. “XYZ Tech Systems에서 개발한 HRMS 앱에서 중요한 로그인 취약점을 발견했습니다.”라는 말이 인상적이지 않은 것 같습니다(이 이름과 비슷할 수 있는 회사에 사과드립니다!)?
그런 다음 버그 현상금과 관련하여 솔로 활동을 하지 않는 다른 실용적인(그리고 압도적인 이유)가 있습니다.
인프라 부족
우리가 이야기한 “해커”는 다크 웹을 스토킹하는 사람들이 아닙니다.
그들은 우리의 “문명화된” 세계를 위한 시간이나 인내심이 없습니다. 대신, 우리는 대학에 재학 중이거나 오랫동안 현상금 사냥꾼이었던 컴퓨터 공학 배경의 연구원에 대해 이야기하고 있습니다. 이 사람들은 특정 형식으로 정보를 원하고 제출하는데, 이는 익숙해지기가 어렵습니다.
최고의 개발자라도 따라잡기 위해 고군분투할 것이며 기회 비용이 너무 높을 수 있습니다.
제출 해결
마지막으로 증거의 문제가 있습니다. 소프트웨어는 완전히 결정적인 규칙을 기반으로 구축될 수 있지만 특정 요구 사항이 정확히 언제 충족되는지는 논쟁의 여지가 있습니다. 이것을 더 잘 이해하기 위해 예를 들어 보겠습니다.
인증 및 권한 부여 오류에 대한 버그 현상금을 생성했다고 가정합니다. 즉, 시스템이 해커가 전복해야 하는 사칭의 위험이 없다고 주장합니다.
이제 해커는 특정 브라우저가 작동하는 방식을 기반으로 취약점을 발견하여 사용자의 세션 토큰을 훔쳐 가장할 수 있습니다.
유효한 발견입니까?
해커의 관점에서 볼 때 침해는 침해입니다. 귀하의 관점에서는 이것이 사용자의 책임 영역에 속한다고 생각하거나 해당 브라우저가 단순히 목표 시장에 대한 관심사가 아니라고 생각하기 때문에 아닐 수도 있습니다.
이 모든 드라마가 버그 현상금 플랫폼에서 일어나고 있다면 발견의 영향을 결정하고 문제를 종결할 유능한 중재자가 있을 것입니다.
그런 의미에서 인기 있는 버그 현상금 플랫폼을 살펴보겠습니다.
예위핵
예위핵 프랑스, 독일, 스위스 및 싱가포르와 같은 많은 국가에서 취약점 공개 및 크라우드 소싱 보안을 제공하는 글로벌 버그 바운티 플랫폼입니다. 기존 도구가 더 이상 기대치를 충족하지 못하는 비즈니스 민첩성 증가와 함께 증가하는 위협에 대처하기 위해 Bug Bounty의 파괴적인 솔루션을 제공합니다.
YesWeHack을 사용하면 윤리적 해커의 가상 풀에 액세스하고 테스트 기능을 최대화할 수 있습니다. 원하는 헌터를 선택하고 테스트할 범위를 제출하거나 YesWeHack 커뮤니티와 공유하십시오. 사냥꾼과 당신의 이익을 보호하기 위해 엄격한 규정과 표준을 따릅니다.
헌터 응답성을 활용하여 앱 보안을 개선하고 수정 및 취약성 감지 시간을 최소화합니다. 프로그램을 실행하면 차이점을 볼 수 있습니다.
버그 바운티 열기
버그 바운티 프로그램에 너무 많은 비용을 지불하고 있습니까?
노력하다 버그 바운티 열기 군중 보안 테스트를 위해.
이것은 커뮤니티 중심의 개방적이고 비용이 없고 중재되지 않은 버그 현상금 플랫폼입니다. 또한 ISO 29147과 호환되는 책임 있고 조정된 취약점 공개를 제공합니다. 현재까지 641,000개 이상의 취약점을 수정하는 데 도움이 되었습니다.
WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha 등과 같은 주요 사이트의 보안 연구원 및 전문가는 Open Bug Bounty 플랫폼을 사용하여 XSS 취약점, SQL 삽입 등과 같은 보안 문제를 해결했습니다. 지식이 풍부하고 반응이 빠른 전문가를 찾아 작업을 신속하게 완료할 수 있습니다.
해커론
버그 바운티 프로그램 중, 해커론 해커에 접근하고, 현상금 프로그램을 만들고, 소문을 퍼뜨리고, 기여도를 평가하는 데 있어 리더입니다.
Hackerone을 사용할 수 있는 두 가지 방법이 있습니다. 플랫폼을 사용하여 취약점 보고서를 수집하고 직접 해결하거나 Hackerone의 전문가가 힘든 작업(선별 분류)을 수행하도록 합니다. 분류는 단순히 취약점 보고서를 컴파일하고 확인하고 해커와 통신하는 프로세스입니다.
Hackerone은 Google Play, PayPal, GitHub, Starbucks 등과 같은 큰 이름에서 사용되므로 물론 심각한 버그와 심각한 주머니가 있는 사람들을 위한 것입니다. 😉
버그 크라우드
버그 크라우드 보안 평가를 위한 여러 솔루션을 제공하며 그 중 하나가 Bug Bounty입니다. 기존 소프트웨어 수명 주기에 쉽게 통합되고 성공적인 버그 바운티 프로그램을 간편하게 실행할 수 있는 SaaS 솔루션을 제공합니다.
소수의 해커가 참여하는 비공개 버그 현상금 프로그램이나 수천 명에게 크라우드소싱하는 공개 프로그램을 선택할 수 있습니다.
안전모
당신이 기업이고 버그 바운티 프로그램을 공개하는 것이 불편하고 동시에 일반적인 버그 바운티 플랫폼에서 제공할 수 있는 것보다 더 많은 관심이 필요한 경우 안전모 당신의 가장 안전한 내기입니다 (끔찍한 말장난, 응?).
전담 보안 고문, 심층적인 해커 프로필, 초대만 가능한 참여 – 모두 귀하의 요구 사항과 보안 모델의 성숙도에 따라 제공됩니다.
인티그리티
인티그리티 비공개 프로그램을 실행하든 공개 프로그램을 실행하든 상관없이 화이트 해커와 연결해 주는 포괄적인 버그 현상금 플랫폼입니다.
해커의 경우 현상금 잡아. 회사의 규모와 산업에 따라 €1,000에서 €20,000에 이르는 버그 헌트가 가능합니다.
시낙
Synack은 틀을 깨고 엄청난 일을 하게 되는 예외적인 시장 중 하나인 것 같습니다. 그들의 보안 프로그램 펜타곤 해킹 몇 가지 중요한 취약점의 발견으로 이어지는 주요 하이라이트였습니다.
따라서 버그 발견뿐만 아니라 최상위 수준의 보안 지침 및 교육을 찾고 있다면, 시낙 가는 길입니다.
결론
“기적의 치료제”를 외치는 치료사를 멀리하는 것처럼 방탄 보안이 가능하다는 웹사이트나 서비스를 멀리하십시오. 우리가 할 수 있는 일은 이상을 향해 한 걸음 더 나아가는 것뿐입니다. 따라서 버그 바운티 프로그램은 버그가 없는 응용 프로그램을 생성할 것으로 기대해서는 안 되며 정말 불쾌한 응용 프로그램을 제거하는 필수 전략으로 보아야 합니다.
이것을 확인하십시오 버그 현상금 사냥 코스 명성, 보상 및 감사를 배우고 얻습니다.
세계에서 가장 큰 버그 현상금 프로그램에 대해 알아보십시오.
나는 당신이 ‘그들의 버그를 많이 스쿼시하기를 바랍니다! 🙂