$4.3 Milioni erogato da Bug Bounty Programma di Facebook - Come, Tecnologia e Security Forum PC | SensorsTechForum.com
NOTIZIA

$4.3 Milioni erogato da Bug Programma Bounty di Facebook

facebook-truffaLa maggior parte delle aziende multinazionali hanno programmi di taglie bug che incoraggiano i ricercatori indipendenti per individuare e segnalare le vulnerabilità. Facebook non fa eccezione. Infatti, il popolare social network ha speso un sacco di soldi sui rapporti di difetti in quanto il suo programma di taglie è stato avviato nel 2011.

Facebook spende milioni di dollari su un bug report

Come rivelato da ricercatore di sicurezza Reginaldo Silva, Facebook ha sperperato circa $4.3 milioni in più di 2,400 segnalazioni di bug, inviato da 800 ricercatori dal 2011.

La maggior parte delle vulnerabilità segnalate includono

  • XSS (scripting cross-site) bug
  • CSRF (cross-site request forgery) bug
  • difetti logica di business (vulnerabilità)

Ulteriori informazioni su Facebook XSS Bugs

Che cosa è una vulnerabilità Business Logic?

i problemi relativi alla sicurezza può essere descritto come debolezze in un'applicazione che compaiono da un controllo di sicurezza rotto o mancante ad esempio l'autenticazione, controllo di accesso, validazione dell'input. In breve, vulnerabilità logica di business sono semplicemente modi di utilizzare legittima flusso di elaborazione di un'applicazione in un modo che porta ad una conseguenza negativa per la particolare organizzazione.

Reginaldo Silva è stato assegnato il più grande pagamento di taglie - in 2014. Questo è ciò che Facebook ha detto circa le sue scoperte di bug:

Recentemente abbiamo assegnato il nostro più grande vincita bug bounty mai, e dato che è un grande validazione del programma che abbiamo costruito e funzionante dal 2011, abbiamo pensato di dedicare qualche minuto per descrivere il problema e la nostra risposta. [...] Reginaldo Silva spiega nel post collegato al di sotto che la questione fosse un entità esterne vulnerabilità XML su https://www.facebook.com/openid/receiver.php che avrebbe potuto permesso a qualcuno di leggere file arbitrari sul server web. Immediatamente, abbiamo implementato una correzione lanciando una bandiera per provocare la nostra biblioteca parsing XML per non consentire la risoluzione di entità esterne.

Date un'occhiata al il Tutto Post di Facebook

Quali sono gli altri doni di bug? In 2015 speso un po 'meno 2014 – $936,000. La somma è stata ripartita per 210 ricercatori in cambio di segnalazione 526 bug. La dimensione media di una taglia bug era $1,780. ricercatori indiani erano in cima alla 'catena di bounty bug' in 2014 e 2015. In aggiunta, esperti provenienti da Egitto e Trinidad portano i numeri in confronto con i ricercatori del Regno Unito e degli Stati Uniti.

Secondo Reginaldo Silva (Originariamente citato da TheRegister):

[…] la qualità delle relazioni che riceviamo è sempre meglio nel corso del tempo, sia in termini di chiare istruzioni passo-passo per riprodurre il problema così come un'attenta considerazione del potenziale rischio per le persone che fanno uso di Facebook.

Il ricercatore ritiene che i difetti logica di business aiutano Facebook impiegare regole all'interno della sua base di codice e quindi eliminare intere classi di difetti. Insomma, concentrandosi sui rapporti di alta qualità e difetti logica di business, è più facile per i ricercatori di classificare le vulnerabilità.

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli!

Altri messaggi

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...