องค์กรต่างๆจ่ายเงินให้แฮกเกอร์ที่มีจริยธรรม "หมวกขาว" 23.5 ล้านเหรียญสหรัฐสำหรับช่องโหว่ด้านความปลอดภัยทางไซเบอร์ 10 อันดับแรกในหนึ่งปีตามข้อมูลของ HackerOne

ภาพถ่ายโดย Markus Spiske บน Unsplash

บทสรุปของบรรณาธิการ: ช่องโหว่ด้านความปลอดภัยทางไซเบอร์ 10 อันดับแรกเช่นการเขียนสคริปต์ข้ามไซต์ (XSS) และการแทรก SQL ยังคงอยู่ในเรดาร์สำหรับ CISO และผู้ปฏิบัติงานส่วนใหญ่ สำหรับทุกเว็บไซต์หรือแอปที่ได้รับการดูแลไม่ดีช่องโหว่เหล่านี้และช่องโหว่อันดับต้น ๆ จำนวนมากสามารถทำให้พวกเขาพิการได้อย่างง่ายดายและทำให้พวกเขาออฟไลน์หรืออ่อนแอเหมือนซอมบี้สำหรับผู้บุกรุกเพื่อใช้ประโยชน์จากทรัพยากรของระบบและเซิร์ฟเวอร์เพื่อจุดประสงค์อื่น จากข้อมูลของ HackerOne องค์กรต่างๆได้จ่ายเงินจำนวน 23.5 ล้านเหรียญสหรัฐให้กับ "หมวกสีขาว" หรือแฮ็กเกอร์ที่มีจริยธรรมเพื่อระบุช่องโหว่เหล่านี้ก่อนที่ผู้ไม่หวังดีจะค้นพบจึงทำให้เว็บไซต์และแอปปลอดภัย รุ่นของผู้จำหน่ายอยู่ด้านล่าง

องค์กรจ่ายเงินให้แฮกเกอร์ 23.5 ล้านเหรียญสหรัฐสำหรับช่องโหว่ 10 รายการในหนึ่งปี

รายงาน HackerOne เปิดเผยการเขียนสคริปต์ข้ามไซต์การควบคุมการเข้าถึงที่ไม่เหมาะสมและการเปิดเผยข้อมูลรายการด้านบนของช่องโหว่ที่พบบ่อยที่สุดและมีผลกระทบ

สิงคโปร์, @mcgallen #microwireข้อมูล 30 ตุลาคม 2020 - ในช่วงเวลาแห่งความไม่แน่นอนความปลอดภัยกลายเป็นสิ่งสำคัญเร่งด่วนยิ่งขึ้น เงินเดิมพันสูง: องค์กรต่างๆพึ่งพาเทคโนโลยีมากขึ้นกว่าที่เคยและใครก็ตามที่พึ่งพาเทคโนโลยีอาจสูญเสียทุกอย่างในการละเมิดข้อมูล แต่ช่องโหว่ล่าสุดบางส่วนมีสิ่งหนึ่งที่เหมือนกันคือถูกตรวจพบค้นพบและรายงานโดยแฮกเกอร์ที่เป็นมิตรซึ่งอาจคิดเหมือนผู้โจมตี

“ ในปีนี้องค์กรทั่วโลกถูกบังคับให้ใช้ระบบดิจิทัลด้วยการนำเสนอผลิตภัณฑ์และบริการของตน” มิจูฮานผู้อำนวยการอาวุโสฝ่ายบริหารผลิตภัณฑ์ของ HackerOne กล่าว “ ธุรกิจต่างๆพยายามหาช่องทางรายได้ใหม่สร้างข้อเสนอทางดิจิทัลสำหรับลูกค้าที่ไลฟ์สไตล์เปลี่ยนไปอย่างมาก คนงานหลายสิบล้านคนเริ่มทำงานจากระยะไกลไม่ว่าจะพร้อมหรือไม่ก็ตาม ด้วยการเปลี่ยนแปลงอย่างรวดเร็วของการเปลี่ยนแปลงทางดิจิทัล CISO จึงต้องอำนวยความสะดวกให้กับความต้องการใหม่ ๆ อย่างรวดเร็วในขณะเดียวกันก็รับประกันความปลอดภัยของระบบที่มีอยู่ เมื่อต้องเผชิญกับอุปสรรคเหล่านี้ผู้นำด้านความปลอดภัยได้รับความชื่นชมใหม่สำหรับการรักษาความปลอดภัยที่ขับเคลื่อนโดยแฮ็กเกอร์ในฐานะโซลูชันที่ว่องไวปรับขนาดได้และประหยัดค่าใช้จ่ายเพื่อเพิ่มทรัพยากรของตนเองและนำเสนอแนวทางการจ่ายตามผลลัพธ์ที่สมเหตุสมผลมากขึ้นภายใต้งบประมาณที่ จำกัด "

HackerOne รักษาฐานข้อมูลช่องโหว่ที่เชื่อถือได้มากที่สุดในอุตสาหกรรม ด้วยช่องโหว่ที่ถูกต้องกว่า 200,000 รายการที่พบโดยแฮกเกอร์ HackerOne จึงเข้ามาตรวจสอบข้อมูลนี้เพื่อรวบรวมข้อมูลเชิงลึกจากช่องโหว่ 10 อันดับแรกที่มีผลกระทบและได้รับรางวัลมากที่สุด

ประเภทช่องโหว่ที่มีผลกระทบและได้รับรางวัลมากที่สุด 10 อันดับแรกของ HackerOne ประจำปี 2020 เรียงตามลำดับจากมากไปหาน้อย ได้แก่ :

  1. การเขียนสคริปต์ข้ามไซต์ (XSS)
  2. การควบคุมการเข้าถึงที่ไม่เหมาะสม
  3. การเปิดเผยข้อมูล
  4. การปลอมคำขอฝั่งเซิร์ฟเวอร์ (SSRF)
  5. การอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย (IDOR)
  6. การเลื่อนระดับสิทธิ์
  7. ด้วย SQL Injection
  8. การรับรองความถูกต้องที่ไม่เหมาะสม
  9. การฉีดรหัส
  10. การปลอมแปลงคำขอข้ามไซต์ (CSRF)

พิจารณาสิบอันดับแรกของปีนี้อย่างละเอียดยิ่งขึ้นเมื่อเทียบกับ 2019 ช่องโหว่สิบอันดับแรกการค้นพบที่สำคัญ ได้แก่ :

  1. การเขียนสคริปต์ข้ามไซต์ ช่องโหว่ยังคงเป็นภัยคุกคามที่สำคัญต่อเว็บแอปพลิเคชันเนื่องจากผู้โจมตีที่ใช้ประโยชน์จากการโจมตี XSS สามารถควบคุมบัญชีของผู้ใช้และขโมยข้อมูลส่วนบุคคลเช่นรหัสผ่านหมายเลขบัญชีธนาคารข้อมูลบัตรเครดิตข้อมูลส่วนบุคคลที่ระบุตัวบุคคลได้ (PII) หมายเลขประกันสังคมและ มากกว่า. ช่องโหว่ที่ได้รับรางวัลมากที่สุดในสองปีที่ดำเนินการช่องโหว่ XSS ทำให้องค์กรเสียเงิน 4.2 ล้านดอลลาร์สหรัฐจากรางวัลค่าหัวรวมเพิ่มขึ้น 26% จากปีก่อนหน้า จุดบกพร่องเหล่านี้คิดเป็น 18% ของช่องโหว่ที่รายงานทั้งหมด แต่รางวัลค่าหัวโดยเฉลี่ยอยู่ที่ 501 ดอลลาร์สหรัฐ ด้วยค่าหัวโดยเฉลี่ยสำหรับช่องโหว่ที่สำคัญอยู่ที่ 3,650 ดอลลาร์สหรัฐซึ่งหมายความว่าองค์กรต่างๆกำลังบรรเทาข้อบกพร่องที่พบบ่อยและอาจเจ็บปวดในราคาถูก
  2. การควบคุมการเข้าถึงที่ไม่เหมาะสม (เพิ่มขึ้นจากอันดับที่เก้าในปี 2019) และ การเปิดเผยข้อมูล (ยังคงยึดจุดที่สาม) อยู่ทั่วไป รางวัลสำหรับการควบคุมการเข้าถึงที่ไม่เหมาะสมเพิ่มขึ้น 134% เมื่อเทียบเป็นรายปีเป็นเพียง 4 ล้านเหรียญสหรัฐ การเปิดเผยข้อมูลไม่ได้อยู่เบื้องหลังเพิ่มขึ้น 63% เมื่อเทียบเป็นรายปี การตัดสินใจออกแบบการควบคุมการเข้าถึงต้องทำโดยมนุษย์ไม่ใช่เทคโนโลยีและโอกาสที่จะเกิดข้อผิดพลาดก็สูงและข้อผิดพลาดทั้งสองแทบจะเป็นไปไม่ได้ที่จะตรวจพบโดยใช้เครื่องมืออัตโนมัติ
  3. SSRF ช่องโหว่ซึ่งสามารถใช้เพื่อกำหนดเป้าหมายระบบภายในที่อยู่เบื้องหลังไฟร์วอลล์แสดงความเสี่ยงของการย้ายระบบคลาวด์ ก่อนหน้านี้ข้อบกพร่อง SSRF ค่อนข้างไม่เป็นอันตรายและถือเป็นจุดที่เจ็ดของเราเนื่องจากอนุญาตให้สแกนเครือข่ายภายในเท่านั้นและบางครั้งก็สามารถเข้าถึงแผงผู้ดูแลระบบภายในได้ แต่ในยุคของการเปลี่ยนแปลงทางดิจิทัลอย่างรวดเร็วนี้การถือกำเนิดของสถาปัตยกรรมคลาวด์และปลายทางข้อมูลเมตาที่ไม่มีการป้องกันทำให้ช่องโหว่เหล่านี้มีความสำคัญมากขึ้น
  4. ด้วย SQL Injection กำลังลดลงปีต่อปี ถือเป็นหนึ่งในภัยคุกคามที่เลวร้ายที่สุดต่อความปลอดภัยของเว็บแอปพลิเคชันโดย OWASP และอื่น ๆ ขนาดของการโจมตีด้วยการแทรก SQL อาจสร้างความเสียหายได้เนื่องจากข้อมูลที่ละเอียดอ่อนรวมถึงข้อมูลทางธุรกิจทรัพย์สินทางปัญญาและข้อมูลลูกค้าที่สำคัญจะถูกเก็บไว้ในเซิร์ฟเวอร์ฐานข้อมูลที่ไวต่อการโจมตีเหล่านี้ . ในปีที่ผ่านมาการแทรก SQL เป็นช่องโหว่ที่พบบ่อยที่สุดประเภทหนึ่ง อย่างไรก็ตามข้อมูลของเราระบุว่ามันลดลงจากปีที่ห้าในปี 2019 เหลือที่เจ็ดในปี 2020 โดยการเปลี่ยนความปลอดภัยไปทางซ้ายองค์กรต่างๆใช้ประโยชน์จากแฮกเกอร์และวิธีการอื่น ๆ เพื่อตรวจสอบพื้นผิวการโจมตีเชิงรุกและป้องกันข้อบกพร่องจากการป้อนรหัส

“ การค้นหาช่องโหว่ที่พบบ่อยที่สุดนั้นมีราคาไม่แพง” ฮันกล่าวต่อ "จาก 10 ประเภทจุดอ่อนที่ได้รับรางวัลมากที่สุดมีเพียงการควบคุมการเข้าถึงที่ไม่เหมาะสมการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (SSRF) และการเปิดเผยข้อมูลเท่านั้นที่ได้รับรางวัลค่าหัวเฉลี่ยเพิ่มขึ้นมากกว่า 10% ค่าอื่น ๆ ลดลงโดยเฉลี่ยหรือเกือบจะทรงตัว ซึ่งแตกต่างจากเครื่องมือและวิธีการรักษาความปลอดภัยแบบเดิมซึ่งมีราคาแพงและยุ่งยากเมื่อเป้าหมายเปลี่ยนไปและพื้นผิวการโจมตีขยายตัวการรักษาความปลอดภัยโดยแฮ็กเกอร์นั้นคุ้มค่ากว่าเมื่อเวลาผ่านไป ด้วยแฮ็กเกอร์การป้องกันไม่ให้ผู้ไม่หวังดีใช้ประโยชน์จากข้อบกพร่องที่พบบ่อยที่สุดด้วยแฮกเกอร์จึงมีราคาถูกลงเรื่อย ๆ ”

สำหรับ HackerOne 10 อันดับช่องโหว่ที่มีผลกระทบมากที่สุดและได้รับรางวัลฉบับเต็ม - รุ่นปี 2020 โปรดไปที่ https://www.hackerone.com/top-10-vulnerabilities

เกี่ยวกับ HackerOne

HackerOne เพิ่มขีดความสามารถให้กับโลกในการสร้างอินเทอร์เน็ตที่ปลอดภัยยิ่งขึ้น ในฐานะแพลตฟอร์มการรักษาความปลอดภัยที่ขับเคลื่อนโดยแฮ็กเกอร์ที่น่าเชื่อถือที่สุดในโลก HackerOne ช่วยให้องค์กรต่างๆสามารถเข้าถึงชุมชนแฮกเกอร์ที่ใหญ่ที่สุดในโลกได้ ด้วยฐานข้อมูลที่แข็งแกร่งที่สุดสำหรับแนวโน้มความเปราะบางและเกณฑ์มาตรฐานของอุตสาหกรรมชุมชนแฮ็กเกอร์จะลดความเสี่ยงทางไซเบอร์ด้วยการค้นหาค้นหาและรายงานจุดอ่อนด้านความปลอดภัยในโลกแห่งความเป็นจริงอย่างปลอดภัยสำหรับองค์กรในทุกอุตสาหกรรมและการโจมตี ลูกค้า ได้แก่ กระทรวงกลาโหมสหรัฐฯ, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapore, Nintendo, PayPal, Qualcomm, Slack, Starbucks, Twitter และ Verizon Media HackerOne อยู่ในอันดับที่ 2020 ในรายชื่อ บริษัท ที่มีนวัตกรรมมากที่สุดในโลกของ Fast Company ประจำปี 70 HackerOne มีสำนักงานใหญ่อยู่ที่ลอนดอนนิวยอร์กเนเธอร์แลนด์ฝรั่งเศสสิงคโปร์และอีกกว่า XNUMX แห่งทั่วโลก

ระเบียบวิธี

HackerOne Top 10 ประเภทช่องโหว่ที่มีผลกระทบและได้รับรางวัลมากที่สุดฉบับนี้อ้างอิงจากข้อมูลที่เป็นกรรมสิทธิ์ของ HackerOne ซึ่งตรวจสอบจุดอ่อนด้านความปลอดภัยที่ได้รับการแก้ไขบนแพลตฟอร์ม HackerOne ระหว่างเดือนพฤษภาคม 2019 ถึงเมษายน 2020 ช่องโหว่ที่รวมอยู่ในที่นี้ได้รับการรายงานโดยชุมชนแฮ็กเกอร์ผ่านการเปิดเผยช่องโหว่สาธารณะและส่วนตัว โปรแกรมเงินรางวัล การจำแนกประเภทช่องโหว่ทั้งหมดจัดทำหรือยืนยันโดยลูกค้าของ HackerOne รวมถึงประเภทจุดอ่อนผลกระทบและความรุนแรง

หมายเหตุ: การจัดประเภทการจัดอันดับช่องโหว่ซึ่ง HackerOne จับคู่กับ Common Weakness Enumeration มาตรฐานอุตสาหกรรมใช้โดยลูกค้า HackerOne และแฮกเกอร์เพื่อจัดหมวดหมู่ช่องโหว่ที่รายงาน ข้อมูลที่นำเสนอนี้คือตั้งแต่เดือนพฤษภาคม 2019 ถึงเมษายน 2020

# # #