Las 10 principales vulnerabilidades de seguridad de HackerOne

Foto de Markus Spiske en Unsplash
Singapur, @mcgallen #microwireinfo, 13 de junio de 2019 - Hoy, HackerOne publica una investigación nunca antes vista sobre las 10 vulnerabilidades de seguridad más impactantes reportadas a través de sus programas, aquellas que han generado a los piratas informáticos en la plataforma más de 54 millones de dólares en recompensas.

Basado en datos de más de 120,000 vulnerabilidades de seguridad reportadas en más de 1,400 programas de clientes en todo el mundo, HackerOne ha lanzado un sitio interactivo que muestra los tipos de vulnerabilidad con los puntajes de gravedad más altos, los mayores volúmenes de informes totales y los más reportados por la industria.

Las 10 principales vulnerabilidades de seguridad de HackerOne son:

    1. Secuencias de comandos entre sitios: todos los tipos (dom, reflejado, almacenado, genérico)
    2. Autenticación incorrecta: genérica
    3. Información de divulgación
    4. Escalada de privilegios
    5. SQL Injection
    6. Inyección de código
    7. Falsificación de solicitudes del lado del servidor (SSRF)
    8. Referencia directa insegura a objetos (IDOR)
    9. Control de acceso inadecuado - Genérico
    10. Falsificación de solicitudes entre sitios (CSRF)
“Vemos un cruce del 40% de HackerOne Top 10 a la última versión de OWASP Top 10. Cross-site Scripting (XSS), divulgación de información e inyección están incluidos en ambas listas. Ambos activos podrán ayudar a los equipos de seguridad a identificar los principales riesgos, nuestro solo tiene en cuenta el volumen y los valores de recompensa, que creemos serán de particular interés para los equipos de seguridad que buscan protegerse contra los piratas informáticos ”, Miju Han, Director de Producto Gestión, HackerOne. “Al observar la cantidad acumulada de recompensas pagadas por errores críticos y de alta gravedad, el total supera el 60% de todas las recompensas pagadas. Curiosamente, al comparar el volumen de informes, se notificaron casi tres veces más errores de alta gravedad que graves. En el extremo opuesto, los informes de baja gravedad representaron solo el 8% del total de recompensas, pero constituyeron casi el 30% del volumen informado. Tenemos la suerte de contar con un conjunto de datos tan completo que nos permite compartir con nuestros clientes y la industria qué vulnerabilidades probablemente sean las más caras ".
Consulte qué vulnerabilidades tienen más impacto en su industria en el Los 10 tipos de vulnerabilidad más impactantes de HackerOne .

Sobre HackerOne
HackerOne es el # 1 plataforma de seguridad impulsada por piratas informáticos, ayudando a las organizaciones a encontrar y corregir vulnerabilidades críticas antes de que puedan ser explotadas. Más empresas de Fortune 500 y Forbes Global 1000 confían en HackerOne que en cualquier otra alternativa de seguridad impulsada por piratas informáticos. El Departamento de Defensa de EE. UU., General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, el Centro de Coordinación CERT y más de 1,400 organizaciones más se han asociado con HackerOne para encontrar más de 120,000 vulnerabilidades y otorgar más de 54 millones de dólares en bug bounties. HackerOne tiene su sede en San Francisco y oficinas en Londres, Nueva York, Países Bajos y Singapur.

###