Accueil > Nouvelles Cyber > $4.3 Million versées par le Programme de Bounty Bug Facebook
CYBER NOUVELLES

$4.3 Million versées par le Programme de Bounty Bug Facebook

La plupart des entreprises multinationales ont des programmes de primes de bogues qui encouragent les chercheurs indépendants et de signaler les vulnérabilités. Facebook ne fait pas exception. En réalité, le populaire réseau social a dépensé beaucoup d'argent sur les rapports de défauts depuis son programme de primes a été lancé en 2011.

facebook-arnaque

Facebook préfère consacrer des millions de dollars sur les rapports de bugs

Comme l'a révélé le chercheur en sécurité Reginaldo Silva, Facebook a laissé filer environ $4.3 millions sur plus de 2,400 rapports de bugs, envoyée par 800 chercheurs depuis 2011.

La plupart des vulnérabilités signalées comprennent

  • XSS (cross-site scripting) bogues
  • CSRF (falsification de requêtes cross-site) bogues
  • défauts logiques d'affaires (vulnérabilités)

En savoir plus sur Facebook XSS Bugs

Qu'est-ce qu'une vulnérabilité Business Logic?

les problèmes liés à la sécurité peuvent être décrits comme des faiblesses dans une application qui apparaissent d'un contrôle de sécurité défectueux ou manquants, tels que l'authentification, contrôle d'accès, validation d'entrée. En bref, vulnérabilités logiques commerciales sont simplement des façons d'utiliser le flux de traitement légitime d'une application d'une manière qui conduit à une conséquence négative à l'organisation particulière.

Reginaldo Silva a obtenu le plus grand paiement de primes - dans 2014. Voici ce que Facebook a dit au sujet de ses découvertes de bugs:

Nous avons récemment reçu notre plus gros gain de bug bounty jamais, et comme il est une excellente validation du programme que nous avons construit et en cours d'exécution depuis 2011, nous avons pensé que nous allions prendre quelques minutes pour décrire la question et notre réponse. [...] Reginaldo Silva explique dans l'article que le problème était une vulnérabilité d'entités externes XML qui aurait pu permettre à quelqu'un de lire des fichiers arbitraires sur le serveur Web. Immédiatement, nous avons mis une solution en retournant un drapeau pour faire notre bibliothèque d'analyse XML pour interdire la résolution des entités externes.

Qu'en est-il d'autres primes de bugs? Dans 2015 passé un peu moins 2014 – $936,000. La somme a été répartie à 210 chercheurs en échange de rapports 526 bogues. La taille moyenne d'une prime de bug était $1,780. Des chercheurs indiens étaient sur le sommet de la «chaîne de primes bug 'dans 2014 et 2015. En outre, des experts de l'Egypte et de la Trinité conduisent les chiffres par rapport aux États-Unis et des chercheurs britanniques.

[…] la qualité des rapports que nous recevons est de mieux au fil du temps, tant en termes d'instructions étape par étape claires pour reproduire le problème ainsi que l'examen réfléchi du risque potentiel pour les personnes qui utilisent Facebook.

Le chercheur estime que les défauts de logique métier aident Facebook emploient des règles au sein de sa base de code et éliminer ainsi des classes entières de défauts. En conclusion, en mettant l'accent sur les rapports de haute qualité et les défauts de logique métier, il est plus facile pour les chercheurs de classer les vulnérabilités.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord