Zeki bilgisayar korsanı için yeni web hedefleri
2022 sona ererken, HackerOne Kuruluşlar dijital dönüşüme başlarken bu yıl bulut tabanlı güvenlik açıklarının giderek yaygınlaştığını ortaya çıkardı.
Hata ödül platformu, araştırmacıların hizmet aracılığıyla yıl boyunca 65.000’den fazla yazılım güvenlik açığı ortaya çıkardığını ve 2021’e göre %21 arttığını bildirdi.
Yanlış yapılandırma güvenlik açıkları da %150 arttı ve uygunsuz yetkilendirme sorunları %45 arttı – büyük ölçüde kuruluşların buluta geçiş yaparken her zamankinden daha ayrıntılı izinler oluşturması nedeniyle.
bilgi kusurun ciddiyetine itiraz etmesine rağmen yakın zamanda RCE Security’den Julien Ahrens’e 10.000 dolarlık bir böcek ödülü ödedi.
Ahrens, Kerberos ve LDAP (Hafif Dizin Erişim Protokolü) yanıtlarını yanıltarak Intel Veri Merkezi Yöneticisi (DCM) kimlik doğrulamasını atladı ve bunun uzaktan kod yürütmeye (RCE) yol açtığını iddia etti.
Intel güvenlik açığını kabul etti ve ona 8,8 önem derecesi verdi, ancak sorunun yalnızca bir ayrıcalık yükseltme hatası olduğunu söylüyor. Yine de ödemeyi bir kerelik olarak yapmaya ikna edildi.
Bu arada, Peter M lakaplı bir güvenlik araştırmacısı, bu ay nasıl atladığını gösterdi. Akamai Spring Boot çalıştıran ve potansiyel olarak uzaktan kod yürütmeye (RCE) yol açan web uygulaması güvenlik duvarları (WAF).
Özel bir operasyonun parçası olarak bir giriş noktası bulmanın 500 ustaca girişimde bulunduğunu ve 14 saatten fazla sürdüğünü söylüyor. böcek kalabalığı programı.
Synack pentester Usman Mansha’nın yardımıyla gerçekleştirilen saldırıda Spring Expression Language (SpEL) enjeksiyonu kullanıldı.
En son bug bounty haberlerinin devamını okuyun
Diğer bug ödül haberlerinde, Birleşik ortalama miktarı ikiye katlayarak, bu yıl geçen yıla kıyasla yaklaşık üç kat daha fazla ödeme yaptığını söylüyor.
Etik hacker’ların böcek ödül avcılığını giderek daha fazla tam zamanlı bir kariyer olarak gördüklerini ve %96’sının buna daha fazla zaman harcamak istediklerini söylüyor. Paranın yanı sıra dünyanın herhangi bir yerinde çalışabilme, tek başına çalışabilme ve siber suçluları zekice alt etme şansı en büyük çekiciliktir.
Ve Meta‘nin bu yıl kendi böcek ödül programını incelemesi, 2 milyon dolardan fazla ödediğini ve toplamda yaklaşık 10.000 rapor aldığını ve bunun 750’sini ödediğini ortaya çıkardı.
Meta ayrıca mobil RCE hataları için güncellenmiş ödeme yönergeleri yayınladı ve hesap devralma (ATO) ve iki faktörlü kimlik doğrulama (2FA) güvenlik açıklarını aşmak için de yeni ödeme yönergeleri var. Bunlar, ATO raporları için 130.000$’a ve mobil RCE hataları için 300.000$’a kadar çıkıyor.
Son olarak, web3 için bug bounty ve güvenlik hizmetleri platformu Bağışıklık genel bir zincirler arası mesajlaşma protokolü olan Wormhole’da keşfedilen bir güvenlik açığı için en büyük ödül olan 10 milyon doları bulan bu yıl 66 milyon doların biraz altında ödeme yaptığını söylüyor.
Ödenen tüm ödüllerin %92,7’sini oluşturan toplam 61 milyon $ ile kritik güvenlik açıkları başı çekti.
Ocak 2023 için en son hata ödül programları
Geçen ay birkaç yeni bug bounty programının gelişine tanık olduk. İşte en son girişlerin bir listesi:
Eksen İletişimi
Program sağlayıcısı:
böcek kalabalığı
Program türü:
Halk
Maksimum ödül:
TBC
Anahat:
Video gözetim satıcısı Axis Communications, 2N ürünleri hariç ağ güvenlik ürünlerindeki güvenlik açıklarını bulmak için bir hata ödül programı başlattı.
notlar:
Axis Communications, bu tür hataları bulmak için ödeme ödüllerinin ayrıntılarını henüz yayınlamadı, ancak bu hataların CVSS yöntemi kullanılarak nasıl puanlandığına ilişkin ayrıntıları yayınladı.
Daha fazla ayrıntı için Axis Communications bug bounty sayfasına göz atın
içerik karesi
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
2.500€ (2.670$)
Anahat:
UX analitiği sağlayıcısı Contentsquare, ayrıntıları hata ödül sayfasında listelenen mobil yazılım geliştirme kiti ve koleksiyon uç noktalarıyla ilgili sorunları bulmaya odaklanan bir hata ödül programı başlattı.
notlar:
Hedefler belirli olduğundan, Contentsquare etik korsanlardan kapsam içi konuların listesine önceden bakmalarını ister.
Daha fazla ayrıntı için Contentsquare hata ödülü sayfasına göz atın
Doppler
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
2.500 dolar
Anahat:
Doppler kendisini “kurumsal ölçekte sır yönetimi sağlamak için geliştiricilerin ve güvenlik ekiplerinin güvendiği bir SecretOps platformu” olarak tanımlıyor.
notlar:
Keşfedilecek çok sayıda alan artı Doppler’in kaynak kodu vardır. Ayrıca test kapsamı dışında kalan beş alan vardır.
Daha fazla ayrıntı için Doppler bug bounty sayfasına göz atın
Engel & Völkers Technology GmbH
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
$1000 dolar
Anahat:
BT danışmanlık firması Engel & Völkers Technology GmbH, alan adlarını böcek ödül avcıları tarafından test edilmeye açtı.
notlar:
Kritikten orta şiddete kadar değişen, saldırıya açık 10’dan fazla alan vardır. Kapsam dışı olan ve test edilmemesi gereken bir avuç alan da vardır.
Daha fazla ayrıntı için Engel & Völkers Technology GmbH bug bounty sayfasına göz atın
Harman Uluslararası
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
Bir Samsung şirketi olan elektronik üreticisi Harman, JBL cihazlarıyla ilgili “tüm ekosistemin sağlamlaştırılması” konusunda yardım istiyor.
notlar:
Kapsamda fiziksel cihazlar, web APIS’leri ve uygulamaları içeren 16 hedef vardır, bu nedenle herkesin takılacağı bir şey vardır.
Daha fazla ayrıntı için Harman International bug bounty sayfasına göz atın
ay ücreti
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
20.000 $
Anahat:
Kripto değişim platformu Moonpay, birden çok alandaki güvenlik açıkları ve kaynak kodu için büyük ödüller sunuyor.
notlar:
Kapsam dışı dört alan vardır, bu nedenle devam etmeden önce bunlar kontrol edilmelidir. Moonpay ayrıca ödül için uygun olmayan kapsamlı bir güvenlik açıkları listesi de detaylandırır, bu yüzden bu da kontrol edilmelidir.
Daha fazla ayrıntı için Moonpay bug bounty sayfasına göz atın
Navitalar
Program sağlayıcısı:
böcek kalabalığı
Program türü:
Özel
Maksimum ödül:
2.500 dolar
Anahat:
Avustralyalı eğitim sağlayıcısı Navitas, hizmetlerindeki tekrarlanabilir hatalar için sorunun ciddiyetine göre ödüller sunuyor.
notlar:
Şirket Avustralya merkezli olmasına rağmen, ödüller dünya çapındaki etik korsanlara davet esasına göre açıktır.
Daha fazla ayrıntı için Navitas hata ödül programıyla ilgili bir basın bültenine göz atın
OVO
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
3.000 $
Anahat:
Endonezya ödeme, ödül ve finansal hizmetler platformu, bilgisayar korsanlarından mobil ve web uygulamalarının dördünde hata bulmalarını istiyor ve ödül aramak için pek çok fırsat sunuyor.
notlar:
OVO, hazırlık ortamlarının, hata ödül sayfasında özel olarak listelenmeyen diğer hedefler gibi kapsam dışında olduğunu açıkça belirtti.
Daha fazla ayrıntı için OVO bug ödül sayfasına göz atın
takas kartı
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
2.000€ (2.140$)
Anahat:
Swapcard kendisini, güvenlik, hükümet ve sağlık sektörlerindeki etkinlikleri düzenleyen yapay zeka destekli bir etkinlik uygulaması ve eşleştirme platformu olarak tanımlıyor.
notlar:
Hedeflenebilecek kapsamlı bir uygulama ve API listesi vardır, bu nedenle bir başlangıç yapmadan önce buna göz atmaya değer. Ayrıca, Swapcard’ın, ayrıntılı bir konsept kanıtı içeren raporların, uygunsa, olmayanlara göre daha hızlı bir oranda ödüllendirileceğini belirttiğini unutmayın.
Daha fazla ayrıntı için Swapcard bug ödül sayfasına göz atın
VFS
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
1.500 dolar
Anahat:
VFS, müşterisi olan hükümetler için vize, pasaport ve konsolosluk hizmetleriyle ilgili idari ve yargısal olmayan görevleri yönetir.
notlar:
Maksimum ödül, ‘kritik’ olarak kabul edilen güvenlik açıkları içindir. Vize başvuru sahibinin kişisel olarak tanımlanabilir bilgilerinin sızdırılması, hassas kullanıcı bilgilerinin önemli ölçüde sızdırılmasına neden olan Güvenli Olmayan Doğrudan Nesne Referansları (IDOR) sorunları ve kullanıcı kayıt akışının tamamlanmasını otomatikleştirebilen komut dizileri örnek olarak verilebilir, ancak bunlarla sınırlı değildir.
Daha fazla ayrıntı için VFS bug ödül sayfasına göz atın
Yuga Laboratuvarları
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
25.000 $
Anahat:
Yuga Labs, web3 platformundaki kritik güvenlik açıklarının keşfi için etkileyici bir 25.000 $ teklif ediyor.
notlar:
Şirket, yalnızca etki alanlarındaki değil, Discord sunucularındaki hatalar hakkında da rapor istiyor. Discord sunucularına saldırmak isteyen herkes, önce Yuga Labs’ın hata ödülü sayfasındaki ayrı politikayı kontrol etmelidir.
Daha fazla ayrıntı için Yuga Labs bug bounty sayfasına göz atın
ÖNCEKİ BASKI Bug Bounty Radarı // Aralık 2022 için en son bug ödül programları