$4.3 Millions versés par le programme Bug Bounty Facebook - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
CYBER NOUVELLES

$4.3 Million versées par le Programme de Bounty Bug Facebook

facebook-arnaqueLa plupart des entreprises multinationales ont des programmes de primes de bogues qui encouragent les chercheurs indépendants et de signaler les vulnérabilités. Facebook ne fait pas exception. En réalité, le populaire réseau social a dépensé beaucoup d'argent sur les rapports de défauts depuis son programme de primes a été lancé en 2011.

Facebook préfère consacrer des millions de dollars sur les rapports de bugs

Comme l'a révélé le chercheur en sécurité Reginaldo Silva, Facebook a laissé filer environ $4.3 millions sur plus de 2,400 rapports de bugs, envoyée par 800 chercheurs depuis 2011.

La plupart des vulnérabilités signalées comprennent

  • XSS (cross-site scripting) bogues
  • CSRF (falsification de requêtes cross-site) bogues
  • défauts logiques d'affaires (vulnérabilités)

En savoir plus sur Facebook XSS Bugs

Qu'est-ce qu'une vulnérabilité Business Logic?

les problèmes liés à la sécurité peuvent être décrits comme des faiblesses dans une application qui apparaissent d'un contrôle de sécurité défectueux ou manquants, tels que l'authentification, contrôle d'accès, validation d'entrée. En bref, vulnérabilités logiques commerciales sont simplement des façons d'utiliser le flux de traitement légitime d'une application d'une manière qui conduit à une conséquence négative à l'organisation particulière.

Reginaldo Silva a obtenu le plus grand paiement de primes - dans 2014. Voici ce que Facebook a dit au sujet de ses découvertes de bugs:

Nous avons récemment reçu notre plus gros gain de bug bounty jamais, et comme il est une excellente validation du programme que nous avons construit et en cours d'exécution depuis 2011, nous avons pensé que nous allions prendre quelques minutes pour décrire la question et notre réponse. [...] Reginaldo Silva explique dans le poste lié ci-dessous que la question était une vulnérabilité des entités externes XML sur https://www.facebook.com/openid/receiver.php qui aurait pu permettre à quelqu'un de lire des fichiers arbitraires sur le serveur Web. Immédiatement, nous avons mis une solution en retournant un drapeau pour faire notre bibliothèque d'analyse XML pour interdire la résolution des entités externes.

Jetez un oeil sur pléniers Poster par Facebook

Qu'en est-il d'autres primes de bugs? Dans 2015 passé un peu moins 2014 – $936,000. La somme a été répartie à 210 chercheurs en échange de rapports 526 bogues. La taille moyenne d'une prime de bug était $1,780. Des chercheurs indiens étaient sur le sommet de la «chaîne de primes bug 'dans 2014 et 2015. En outre, des experts de l'Egypte et de la Trinité conduisent les chiffres par rapport aux États-Unis et des chercheurs britanniques.

Selon Reginaldo Silva (initialement cité par TheRegister):

[…] la qualité des rapports que nous recevons est de mieux au fil du temps, tant en termes d'instructions étape par étape claires pour reproduire le problème ainsi que l'examen réfléchi du risque potentiel pour les personnes qui utilisent Facebook.

Le chercheur estime que les défauts de logique métier aident Facebook emploient des règles au sein de sa base de code et éliminer ainsi des classes entières de défauts. En conclusion, en mettant l'accent sur les rapports de haute qualité et les défauts de logique métier, il est plus facile pour les chercheurs de classer les vulnérabilités.

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...