La plupart des entreprises multinationales ont des programmes de primes de bogues qui encouragent les chercheurs indépendants et de signaler les vulnérabilités. Facebook ne fait pas exception. En réalité, le populaire réseau social a dépensé beaucoup d'argent sur les rapports de défauts depuis son programme de primes a été lancé en 2011.
Facebook préfère consacrer des millions de dollars sur les rapports de bugs
Comme l'a révélé le chercheur en sécurité Reginaldo Silva, Facebook a laissé filer environ $4.3 millions sur plus de 2,400 rapports de bugs, envoyée par 800 chercheurs depuis 2011.
La plupart des vulnérabilités signalées comprennent
- XSS (cross-site scripting) bogues
- CSRF (falsification de requêtes cross-site) bogues
- défauts logiques d'affaires (vulnérabilités)
En savoir plus sur Facebook XSS Bugs
Qu'est-ce qu'une vulnérabilité Business Logic?
les problèmes liés à la sécurité peuvent être décrits comme des faiblesses dans une application qui apparaissent d'un contrôle de sécurité défectueux ou manquants, tels que l'authentification, contrôle d'accès, validation d'entrée. En bref, vulnérabilités logiques commerciales sont simplement des façons d'utiliser le flux de traitement légitime d'une application d'une manière qui conduit à une conséquence négative à l'organisation particulière.
Reginaldo Silva a obtenu le plus grand paiement de primes - dans 2014. Voici ce que Facebook a dit au sujet de ses découvertes de bugs:
Nous avons récemment reçu notre plus gros gain de bug bounty jamais, et comme il est une excellente validation du programme que nous avons construit et en cours d'exécution depuis 2011, nous avons pensé que nous allions prendre quelques minutes pour décrire la question et notre réponse. [...] Reginaldo Silva explique dans l'article que le problème était une vulnérabilité d'entités externes XML qui aurait pu permettre à quelqu'un de lire des fichiers arbitraires sur le serveur Web. Immédiatement, nous avons mis une solution en retournant un drapeau pour faire notre bibliothèque d'analyse XML pour interdire la résolution des entités externes.
Qu'en est-il d'autres primes de bugs? Dans 2015 passé un peu moins 2014 – $936,000. La somme a été répartie à 210 chercheurs en échange de rapports 526 bogues. La taille moyenne d'une prime de bug était $1,780. Des chercheurs indiens étaient sur le sommet de la «chaîne de primes bug 'dans 2014 et 2015. En outre, des experts de l'Egypte et de la Trinité conduisent les chiffres par rapport aux États-Unis et des chercheurs britanniques.
[…] la qualité des rapports que nous recevons est de mieux au fil du temps, tant en termes d'instructions étape par étape claires pour reproduire le problème ainsi que l'examen réfléchi du risque potentiel pour les personnes qui utilisent Facebook.
Le chercheur estime que les défauts de logique métier aident Facebook emploient des règles au sein de sa base de code et éliminer ainsi des classes entières de défauts. En conclusion, en mettant l'accent sur les rapports de haute qualité et les défauts de logique métier, il est plus facile pour les chercheurs de classer les vulnérabilités.