跨站点脚本顶级漏洞,黑客找到
跨站点脚本(XS)是最常用的漏洞,根据Hackerone,目前最大的平台,旨在将组织连接有能够识别网络风险的白帽黑客社区,目前拥有约20万人。
XSS是一种注入安全攻击的类型,其中攻击者将数据(例如恶意脚本)注入来自其他信任网站的内容。当允许不受信任的源将其自己的代码注入Web应用程序时,发生跨站点脚本攻击,并且该恶意代码包含在受害者的浏览器中的动态内容。
这是一个存在的漏洞的示例,因为常规内置于组织的网站的功能通常可以多于它的旨在增加输入,因为输入的验证是不充分的验证,这使得黑帽可以获得网站以不打算的方式响应由他们的创造者。
根据Hackerone的最新数据,尽管在OWASP Top10安全问题中列出了多年的时间,但如何避免使用它以及对其使用前端Web应用程序框架的保护,XSS(CWE 79 )除金融服务和银行业务外,所有行业中最具利用的脆弱性,在不正当的身份验证(CWE-287)之外,在所有其他行业中仅次于XSS,占所有漏洞的12%。
与所有漏洞一样,Hackerone表示XSS在严重程度中发出范围。虽然在没有认证用户和/或暴露任何敏感信息的站点上的反映XSS漏洞可能会有低严重程度,但是在暴露重大机密的系统上的XSS问题可能更严重。
XSS是许多组织没有解决的那种漏洞的一个例子,但非常受到网络攻击者的欢迎,因为它们可以在所有行业领域的组织中找到和利用。
该报告强调了“黑客驱动”安全性的好处,也确定了由公司或员工提供的黑帽作为信息披露的最佳漏洞,该公司或员工也占所有漏洞的12%,例如违反安全设计原则(10%)和跨站点请求伪造(CSRF)代表所有被发现的所有漏洞的8%。
根据Hackerone Ceo Marten Mickos的说法,使用黑客寻找漏洞,这些优势与传统的渗透测试和红色合作练习在帮助组织之前采取行动,在任何糟糕的事情发生之前。
“当你有一个专门的[笔测试或红色]团队做某事时,随着时间的推移,他们的创造力会变得沉闷,并且他们倾向于在同样的方式又一次地做事,因此不太可能找到网络罪犯会发现什么,“他每周告诉电脑。
“我们模型的一个优势是我们可以呼吁的人的普遍性,以及他们没有关于系统的以前的信息,所以他们不是通过了解太多而”盲目“,所以他们尝试专门的团队不太可能尝试。
“因此,他们统计上产生了更好的结果,因为它们来自外面,就像犯罪分子一样,他们看起来更广泛而创造性,因为他们没有任何先入为主的概念或关于要寻找的东西的偏见。虽然我们的许多工作都侧重于Web属性,但我们还攻击了移动应用程序,API [Application Program Interfaces],基础架构软件,甚至芯片组。“
另一个优点是Mickos,是Bug Bounty程序正在进行中,当他们找到某些东西时,才会获得Hackerone的成员,这意味着它们不太可能与钢笔测试人员感到不满,他们通常会在单个单一的支付测试的笔测试仪点及时,无论它们是否找到任何漏洞。
“尽管一些公司几乎每天部署新代码,但笔测试只在定期完成,因此往往落后几个月,”他说。
该过程基本上是由组织运行的任何Bug赏金计划,旨在鼓励白帽黑客寻找网络安全漏洞,并与他们合作,以减轻这些漏洞的漏洞奖励。
Mickos表示,唯一真正的差异是,使用Hackerone平台的组织不必在一对一的基础上处理黑客参与,或者处理世界各地约有150个不同国家的黑客的赏金支付和税务文件。
“我们的软件平台自动化一些工作,提供了一个记录系统,并提供了一种支付机制,可节省时间,努力和人数。我们的平台还提供了一个排名系统,可确保最合适的白色帽子是任务的特定项目,这意味着蜂鸣声能够提供向组织提交报告的任何黑客的个人资料,“他说。
与许多安全产品不同,Mickos表示组织只有当黑客发现真正的安全漏洞时,只有在市场力量的价格基于攻击者剥削漏洞报告的漏洞时,市场力量的价格基于对本组织的潜在影响。
Hackerone成员报告的每个安全漏洞的严重程度都是用常见的漏洞评分系统框架(CVSS)V3.0测量,并相应地设置。根据Mickos的说法,如果利用50,000至250,000美元,则可能产生严重影响的脆弱性,但这相当罕见,平均价格约为600美元。
虽然Hackerone根据他们的经验,技能和跟踪记录在程序上排名其平台成员,但在该计划上,它是免费的,对于14岁以上的任何人都是免费的,并且来自美国批准的国家加入,并带来了额外的利益支持和教育服务。
“我们对成员人数在没有任何招聘时,我们都感到惊讶,但我认为我们只是在一开始,如果我们在几年内有一百万黑客报名,我就不会感到惊讶在Mickos说,世界各地都有这么多人拥有这些技能,正在寻找有意义的工作。“
他说,排名系统意味着Hackerone非常了解1,000名贡献者,他们大多数人都是个人的。“一旦他们注册黑客有机会展示他们可以做的事情,一旦他们开始脱颖而出,我们就开始追踪他们的表现,许多贡献者在主流网络安全行业就业,”他说。
“这是一种更快,更高效和更低的成本来看,寻找漏洞,而不是任何其他的Mickos索赔,加入Hackerone客户包括广泛的公共和私营部门组织,包括美国国防部,美国一般服务管理局,通用电机,推特,Github,任天堂,松下航空电子,高通,广场,星巴克和Dropbox。
评论Hackerone成员的顶级调查结果,Mickos表示,他们中的许多人是组织没有解决的漏洞,因为他们不明白他们使用的旧软件并非设计用于在互联网连接的环境中工作。
“它经常有挑战性,试图修复遗留代码,因为在许多情况下,在许多情况下创建代码并了解它如何工作的人不再在公司,没有人知道他们在哪里,”他说。
遗留码之后,最大的挑战之一是漏洞不是由于可以修复的错误或缺陷,而是因为软件响应比用户组织或甚至原始开发人员实现更多命令。“在质量保证和其他测试中,很难发现该软件比旨在做的更多,为黑帽子创造机会”Mickos。
他说,黑客能够找到漏洞的漏洞,尽管网络攻击的影响越来越多,但是“共同的疏忽”。
“许多组织仍然像大灯中的鹿一样,不知道他们需要做些什么来保护自己,或者专用软件开发人员创造新的东西,以提高业务,而不是修复现有应用程序中的安全漏洞。有许多不断的激励措施,导致许多组织只是忽略了这个问题。“
然而,Mickos很乐观。“我确信我们会解决这个问题,但我知道它需要一个非常强烈的社会反应,这将包括法律授权。立法者必须为公司和政府实体制定任务,就像使用汽车和航空公司安全一样对此负责。
询问网络安全企业家应该专注于创新的领域,Mickos鉴于事实和辛勤人士表示,在线开展更多时间在线从事活动,需要更加连续的安全系统实时工作。
“许多传统安全系统倾向于以固定的定期间隔工作,因此从时间点解决方案转换为连续安全解决方案或更快的系统将带来好处,因为在一天结束时,安全就是继续前进网络对手
“迅速增长的其他领域,通过改善安全信息共享,包括威胁情报和汇总防御。我们缺乏在今天规模的系统,方法和产品,但历史表明,汇集防御可以击败不对称的威胁,我认为这是最终会在网络安全方面取得成功的威胁,“他说。
在英国对网络安全的态度评论,Mickos表示,大多数商业领导人似乎在这方面致力于履行责任,并愿意在发现他们的网络安全漏洞时采取行动。“他们意识到这就是你的建造力量,”他说。
特别是,Mickos赞扬了英国国家网络安全中心(NCSC)所做的工作,以建立保护公民和小企业的服务。
“我对NCSC在建立服务的主动,保护垃圾钓鱼和垃圾邮件时,我留下了非常深刻的印象,与欧洲的许多国家相比,”与欧洲的许多国家相比,“他说,指的是NCSC的主动网络防御计划。
Mickos表示,另一个积极的发展,是引入新的监管要求,如欧盟的一般数据保护条例(GDPR)。
“当局正在为组织设定指南,但他们的方法不是责任组织。有一种真正的愿望解决问题,所以我们正朝着鼓励所有组织采取坚决行动的正确方向,而当他们这样做时,潮流将转身,“他说。