欢迎来到永胜在线
国内最专业的科技资讯提供商

超越娱乐官网:Bug奖励用于深度测试,而用于传统缺陷的奖励较少

今年报告的漏洞数量和每个漏洞的bug赏金都有所增加。

根据Bugcrowd的《2019年众包安全状况报告》,去年报告的漏洞总数增加了92%,而今年每个漏洞的平均赔付额增加了83%。

Bugcrowd表示,越来越多的行业正在采用众包安全方案,众包钢笔测试和漏洞披露“正在以惊人的速度增长,运行多年程序的公司数量已经导致公共程序的数量显著增加。”

Bugcrowd的首席技术官兼运营副总裁David Baker告诉infosecsecurity,“这既是一件好事,也证明总是有更多的bug需要被发现。”

“更多的漏洞不是缺乏测试或SDLC(软件开发生命周期)不佳的结果,而是向云计算的转变、向移动应用的推进和物联网的采用,”他说。“最终,人们发现越来越多的P1s,这意味着这些关键的bug将很快得到识别和解决。发现bug是一件好事;通过更好的进攻促进更好的防守是一个伟大的SDLC战略。”

Bugcrowd还表示,针对关键漏洞的平均赔付额达到了2,669.92美元,比去年增长了27%。然而,它声称“研究人员不再追求像XSS、CSRF和SSI这样的东西,因为这些东西现在很容易被许多扫描仪发现。”现在正在做深度测试,导致了过去一年的五大漏洞如下:

  1. 破碎的访问控制
  2. 敏感数据暴露
  3. 服务器安全错误配置
  4. 身份验证和会话管理中断
  5. 跨站点脚本编制

卢塔安全公司首席执行官凯蒂·穆苏里斯在接受infosecsecurity采访时表示,“访问控制失效”是一个非常宽泛的范畴”绝对可以被量化为唾手可得的成果”如果组织对资产或API完全不进行身份验证,这是一个简单的错误,根本不表示存在更深层次或更复杂的错误。“导致数据泄露的信息披露结果也是如此,这是榜单上的第二项。”

Moussouris说,即使是具有很多一般流程成熟度和强大的安全开发生命周期的组织,也会出现基本的XSS bug,尤其是在第三方开发的网站中。

“事实上,尽管漏洞赏金搜索可以帮助解决问题,"她说,"组织不能使用它们或任何其他外部测试机制作为一个复选框,来为在防止常见类错误(如身份验证错误)方面的自满找借口。”

Moussouris接着说,在大多数情况下,一些组织把漏洞奖励看作是“一种在安全方面显得忙碌和积极响应的方式,而实际上它掩盖了潜在的安全疏忽”而且在bug bounties中最常见的bug类仍然处于成熟度的低端。

“大多数组织应该积极地尝试自己预防和检测这些错误,而不是将它们的检测外包给幸运的bug赏金抽奖。”

历史上的今天
八月
2
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » 超越娱乐官网:Bug奖励用于深度测试,而用于传统缺陷的奖励较少
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们