Die 10 wichtigsten Sicherheitslücken von HackerOne

Foto von Markus Spiske auf Unsplash
Singapur, @mcgallen #microwireinfo, 13. Juni 2019 - Heute veröffentlicht HackerOne noch nie zuvor veröffentlichte Untersuchungen zu den zehn wichtigsten Sicherheitslücken, die über seine Programme gemeldet wurden - diejenigen, die Hackern auf der Plattform Kopfgelder in Höhe von mehr als 10 Millionen US-Dollar eingebracht haben.

Basierend auf Daten von mehr als 120,000 Sicherheitslücken, die in mehr als 1,400 Kundenprogrammen weltweit gemeldet wurden, hat HackerOne eine interaktive Website gestartet, auf der Schwachstellentypen mit den höchsten Schweregraden, dem größten Gesamtberichtvolumen und den meisten von der Branche gemeldeten Berichten aufgeführt sind.

Die Top 10 Sicherheitslücken von HackerOne sind:

    1. Cross-Site Scripting - Alle Typen (dom, reflektiert, gespeichert, generisch)
    2. Unsachgemäße Authentifizierung - Allgemein
    3. Offenlegungsinformationen
    4. Privilegien Eskalation
    5. SQL Injection
    6. Code Injection
    7. Serverseitige Anforderungsfälschung (SSRF)
    8. Unsichere direkte Objektreferenz (IDOR)
    9. Unsachgemäße Zugriffskontrolle - Allgemein
    10. Cross-Site Request Forgery (CSRF)
„Wir sehen einen 40% igen Übergang der HackerOne Top 10 zur neuesten Version der OWASP Top 10. Cross-Site Scripting (XSS), Information Disclosure und Injection sind in beiden Listen enthalten. Beide Assets können Sicherheitsteams dabei unterstützen, die Hauptrisiken zu identifizieren. Wir berücksichtigen lediglich Volumen- und Kopfgeldwerte, die unserer Meinung nach für Sicherheitsteams von besonderem Interesse sind, die sich vor kriminellen Hackern schützen möchten “, so Miju Han, Director of Product Management, HackerOne. „Betrachtet man die kumulierte Anzahl der Kopfgelder, die für kritische und schwerwiegende Fehler gezahlt wurden, so beträgt die Gesamtsumme über 60% aller gezahlten Kopfgelder. Interessanterweise wurden im Vergleich zum Berichtsvolumen fast dreimal so viele Fehler mit hohem Schweregrad gemeldet wie mit kritischem Schweregrad. Am anderen Ende machten Berichte mit niedrigem Schweregrad nur 8% der Kopfgeldsumme aus, machten jedoch fast 30% des gemeldeten Volumens aus. Wir haben das Glück, über einen so umfassenden Datensatz zu verfügen, dass wir unseren Kunden und der Branche mitteilen können, welche Schwachstellen wahrscheinlich am teuersten sind. “
Informieren Sie sich auf der Website über die Sicherheitslücken, die für Ihre Branche am schlimmsten sind Die 10 wichtigsten HackerOne-Sicherheitslücken Webseite.

Über HackerOne
HackerOne ist die Nummer 1 Hacker-basierte SicherheitsplattformDies hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor sie ausgenutzt werden können. Mehr Fortune 500- und Forbes Global 1000-Unternehmen vertrauen HackerOne als jede andere von Hackern betriebene Sicherheitsalternative. Das US-Verteidigungsministerium, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, das CERT Coordination Center und über 1,400 andere Organisationen haben sich mit HackerOne zusammengetan, um dies zu finden über 120,000 Sicherheitslücken und Prämien in Höhe von über 54 Millionen US-Dollar Fehler Kopfgeld. HackerOne hat seinen Hauptsitz in San Francisco und Niederlassungen in London, New York, den Niederlanden und Singapur.

###