опубликовано
Сингапур, @mcgallen #microwireinfo, 13 июня 2019 г. - Сегодня HackerOne выпускает никогда ранее не проводившиеся исследования 10 самых серьезных уязвимостей системы безопасности, обнаруженных в его программах, - тех, которые принесли хакерам на платформе более 54 миллионов долларов США.

Основываясь на данных о более чем 120,000 уязвимостей безопасности, обнаруженных в более чем 1,400 клиентских программах по всему миру, HackerOne запустил интерактивный сайт, на котором показаны типы уязвимостей с наивысшей степенью серьезности, наибольшим общим объемом отчетов и наибольшим количеством сообщений в отрасли.

10 основных уязвимостей безопасности HackerOne:

    1. Межсайтовый скриптинг - все типы (внутренний, отраженный, хранимый, общий)
    2. Неправильная аутентификация - универсальный
    3. Раскрытие информации
    4. Повышение привилегий
    5. SQL-инъекция
    6. Ввод кода
    7. Подделка запросов на стороне сервера (SSRF)
    8. Небезопасная прямая ссылка на объект (IDOR)
    9. Неправильный контроль доступа - общий
    10. Подделка межсайтовых запросов (CSRF)
«Мы видим на 40% пересечение первой десятки HackerOne с последней версией топ-10 OWASP. Межсайтовые сценарии (XSS), раскрытие информации и внедрение включены в оба списка. Оба актива смогут помочь отделам безопасности идентифицировать основные риски, наш просто также принимает во внимание объемы и вознаграждения, которые, по нашему мнению, будут особенно интересны для групп безопасности, стремящихся защитить себя от преступных хакеров », - Миджу Хан, директор по продукту Менеджмент, HackerOne. «Если посмотреть на совокупную сумму вознаграждений, выплаченных за критические и серьезные ошибки, общая сумма вознаграждений составляет более 10% от всех выплаченных вознаграждений. Интересно, что, сравнивая количество отчетов, было почти в три раза больше ошибок с высокой степенью серьезности, чем с критической. С другой стороны, отчеты с низкой степенью серьезности составляли всего 60% от общей суммы вознаграждений, но при этом составляли почти 8% от общего объема отчетов. Нам повезло, что у нас есть такой исчерпывающий набор данных, который позволяет нам делиться с нашими клиентами и представителями отрасли, какие уязвимости могут оказаться самыми дорогостоящими ».
Узнайте, какие уязвимости наиболее опасны для вашей отрасли на Топ-10 наиболее эффективных типов уязвимостей по версии HackerOne Веб-сайт.

О HackerOne
HackerOne - номер 1 платформа безопасности на базе хакеров, помогая организациям находить и устранять критические уязвимости до того, как ими можно будет воспользоваться. HackerOne доверяют больше компаний из рейтингов Fortune 500 и Forbes Global 1000, чем любой другой хакерской альтернативе безопасности. Министерство обороны США, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapore, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, Координационный центр CERT и более 1,400 других организаций сотрудничают с HackerOne, чтобы найти более 120,000 54 уязвимостей и награда более XNUMX миллионов долларов США в баги. Штаб-квартира HackerOne находится в Сан-Франциско, а офисы - в Лондоне, Нью-Йорке, Нидерландах и Сингапуре.

###