Les 10 principales vulnérabilités de sécurité de HackerOne

Photo par Markus Spiske sur Unsplash
Singapour, @mcgallen #microwireinfo, 13 juin 2019 - Aujourd'hui, HackerOne publie des recherches inédites sur les 10 vulnérabilités de sécurité les plus percutantes signalées par le biais de ses programmes - celles qui ont rapporté aux pirates sur la plate-forme plus de 54 millions de dollars de primes.

Sur la base des données de plus de 120,000 vulnérabilités de sécurité signalées dans plus de 1,400 programmes clients dans le monde, HackerOne a lancé un site interactif présentant les types de vulnérabilité avec les scores de gravité les plus élevés, les volumes de rapports totaux les plus importants et les plus rapportés par l'industrie.

Les 10 principales vulnérabilités de sécurité de HackerOne sont:

    1. Script intersite - Tous les types (dom, reflété, stocké, générique)
    2. Authentification incorrecte - Générique
    3. Divulgation d'information
    4. Elévation de Privilèges
    5. Injection SQL
    6. Injection de code
    7. Falsification de demande côté serveur (SSRF)
    8. Référence d'objet direct non sécurisé (IDOR)
    9. Contrôle d'accès inapproprié - Générique
    10. Falsification de requêtes intersites (CSRF)
«Nous constatons un croisement de 40% du Top 10 HackerOne vers la dernière version du Top 10 OWASP. Cross-site Scripting (XSS), la divulgation d'informations et l'injection sont tous inclus dans les deux listes. Les deux actifs seront en mesure d'aider les équipes de sécurité à identifier les principaux risques, notre prend également en compte les valeurs de volume et de prime, ce qui, selon nous, sera d'un intérêt particulier pour les équipes de sécurité qui cherchent à se protéger contre les pirates informatiques criminels », Miju Han, directeur des produits Gestion, HackerOne. «En regardant le montant cumulé des primes payées pour les bogues critiques et de haute gravité, le total est supérieur à 60% de toutes les primes payées. Fait intéressant, en comparant par volume de rapports, il y avait près de trois fois plus de bogues de gravité élevée signalés que de gravité critique. À l'opposé, les rapports de faible gravité ne représentaient que 8% du total des primes, mais représentaient près de 30% du volume signalé. Nous avons la chance de disposer d'un ensemble de données aussi complet qui nous permet de partager avec nos clients et l'industrie quelles vulnérabilités sont susceptibles d'être les plus coûteuses. »
Découvrez quelles vulnérabilités ont le plus d'impact sur votre secteur Le HackerOne Top 10 des types de vulnérabilité les plus impactants en ligne.

À propos de HackerOne
HackerOne est le n ° 1 plateforme de sécurité propulsée par les hackers, aidant les organisations à trouver et à corriger les vulnérabilités critiques avant qu'elles ne soient exploitées. Plus de sociétés Fortune 500 et Forbes Global 1000 font confiance à HackerOne qu'à toute autre alternative de sécurité basée sur les hackers. Le département américain de la Défense, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapour, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, le Centre de coordination CERT et plus de 1,400 autres organisations se sont associés à HackerOne pour trouver plus de 120,000 vulnérabilités et attribuer plus de 54 millions de dollars primes de bug. HackerOne a son siège à San Francisco et des bureaux à Londres, New York, aux Pays-Bas et à Singapour.

###