โพสต์
สิงคโปร์, @mcgallen #microwireข้อมูล 13 มิถุนายน 2019 - วันนี้ HackerOne เผยแพร่ไม่เคยเห็นมาก่อนงานวิจัยเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่มีผลกระทบมากที่สุด 10 อันดับแรกที่รายงานผ่านโปรแกรมซึ่งทำให้แฮกเกอร์ได้รับเงินรางวัลบนแพลตฟอร์มมากกว่า 54 ล้านเหรียญสหรัฐ

จากข้อมูลจากช่องโหว่ด้านความปลอดภัยมากกว่า 120,000 รายการที่รายงานในโปรแกรมของลูกค้ามากกว่า 1,400 โปรแกรมทั่วโลก HackerOne ได้เปิดตัวไซต์อินเทอร์แอกทีฟที่แสดงประเภทช่องโหว่ที่มีคะแนนความรุนแรงสูงสุดจำนวนรายงานทั้งหมดที่ใหญ่ที่สุดและรายงานมากที่สุดโดยอุตสาหกรรม

ช่องโหว่ด้านความปลอดภัย 10 อันดับแรกของ HackerOne ได้แก่ :

    1. การเขียนสคริปต์ข้ามไซต์ - ทุกประเภท (dom, สะท้อน, จัดเก็บ, ทั่วไป)
    2. การรับรองความถูกต้องที่ไม่เหมาะสม - ทั่วไป
    3. การเปิดเผยข้อมูล
    4. การเลื่อนระดับสิทธิ์
    5. ด้วย SQL Injection
    6. การฉีดรหัส
    7. การปลอมคำขอฝั่งเซิร์ฟเวอร์ (SSRF)
    8. การอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย (IDOR)
    9. การควบคุมการเข้าถึงที่ไม่เหมาะสม - ทั่วไป
    10. การปลอมแปลงคำขอข้ามไซต์ (CSRF)
“ เราเห็นการครอสโอเวอร์ 40% ของ HackerOne Top 10 เป็นเวอร์ชันล่าสุดของ OWASP Top 10 Cross-site Scripting (XSS), การเปิดเผยข้อมูลและการฉีดรวมอยู่ในทั้งสองรายการ ทรัพย์สินทั้งสองจะสามารถช่วยทีมรักษาความปลอดภัยระบุความเสี่ยงอันดับต้น ๆ ได้นอกจากนี้เรายังคำนึงถึงปริมาณและมูลค่าเงินรางวัลซึ่งเราคิดว่าจะเป็นที่สนใจของทีมรักษาความปลอดภัยที่ต้องการป้องกันแฮกเกอร์อาชญากร” มิจูฮานผู้อำนวยการฝ่ายผลิตภัณฑ์ Management, HackerOne. “ เมื่อพิจารณาจากจำนวนเงินรางวัลสะสมที่จ่ายไปสำหรับจุดบกพร่องที่ร้ายแรงและมีความรุนแรงสูงจำนวนทั้งหมดนั้นมากกว่า 60% ของค่าหัวทั้งหมดที่จ่ายไป ที่น่าสนใจเมื่อเปรียบเทียบตามปริมาณรายงานพบว่ามีรายงานข้อบกพร่องที่มีความรุนแรงสูงมากถึงเกือบสามเท่า ในทางตรงกันข้ามรายงานความรุนแรงต่ำคิดเป็นเพียง 8% ของเงินรางวัลทั้งหมด แต่คิดเป็นเกือบ 30% ของปริมาณที่รายงาน เราโชคดีที่มีชุดข้อมูลที่ครอบคลุมซึ่งช่วยให้เราสามารถแบ่งปันกับลูกค้าและอุตสาหกรรมที่ช่องโหว่มีแนวโน้มที่จะมีราคาแพงที่สุด”
ตรวจสอบว่าช่องโหว่ใดที่ส่งผลกระทบต่ออุตสาหกรรมของคุณมากที่สุดที่ HackerOne 10 อันดับช่องโหว่ที่มีผลกระทบมากที่สุด เว็บไซต์.

เกี่ยวกับ HackerOne
HackerOne เป็นอันดับ 1 แพลตฟอร์มความปลอดภัยที่ขับเคลื่อนโดยแฮ็กเกอร์ช่วยให้องค์กรค้นหาและแก้ไขช่องโหว่ที่สำคัญก่อนที่จะถูกใช้ประโยชน์ บริษัท ที่ติดอันดับ Fortune 500 และ Forbes Global 1000 จำนวนมากให้ความไว้วางใจ HackerOne มากกว่าทางเลือกด้านความปลอดภัยอื่น ๆ ที่ใช้แฮ็กเกอร์ กระทรวงกลาโหมสหรัฐฯ General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapore, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, CERT Coordination Center และองค์กรอื่น ๆ กว่า 1,400 แห่งได้ร่วมมือกับ HackerOne เพื่อค้นหา ช่องโหว่มากกว่า 120,000 รายการและได้รับรางวัลมากกว่า 54 ล้านเหรียญสหรัฐใน รางวัลบั๊ก. HackerOne มีสำนักงานใหญ่ในซานฟรานซิสโกโดยมีสำนักงานอยู่ในลอนดอนนิวยอร์กเนเธอร์แลนด์และสิงคโปร์

# # #