ハッカーは、2020年よりも2021年に21%多くの脆弱性を報告しました

ハッカーは、2020年よりも2021年に21%多くの脆弱性を報告しました

HackerOneは、ハッカーがより多くのバグを報告し、より大きな報奨金を獲得していると報告していますが、テストの増加またはソフトウェアの脆弱性の増加がジャンプの原因ですか?

彼はあなたがあなたのバグを見つけるのを手伝いたいだけです。

“href =” https://www.techrepublic.com/a/hub / i / r /2021/12/10/260d16a1-bfc9-4d8e-ad12-1d1bf2baafb6 / resize /770x / 5b64cf39b286ba00174131fc06a1f954/ Shutterstock-1152341882。jpg “target =” _ blank “>shutterstock-1152341882.jpg

ちょうど彼 バグの発見を支援したいと考えています。

画像:Shutterstock / Krakenimages.com

バグバウンティハブHackerOneは、フリーランスのバウンティハンターハッカーのユーザーベースがなんと報告したと発表しました66、000+検証済みの脆弱性2021、20昨年の合計よりも%増加。正確には、昨年が不確実性とCOVIDによって引き起こされた混乱の実際の年だったときに、今年このような急増を引き起こす可能性があるのは何ですか?

検証されたバグの数の増加に加えて、HackerOneのレポートでは、重大なバグ(CVSSスケールを使用して評価)に対して支払われた報奨金の中央値が13%、およびby30「重大度が高い」と評価されたバグの%。これは重大度より1ステップ低くなります。

見る: パスワード違反:ポップカルチャーとパスワードが混ざらない理由(無料のPDF)(TechRepublic)

バグ検出の増加と支払いの増加に対応して、HackerOneが「ハッカー-」と呼ぶ数パワードセキュリティプログラム」はによって成長しました% の 2021、最大の成長は、航空/航空宇宙、医療技術、および政府産業です。 HackerOneはまた、金融サービス業界でのハッカーベースのセキュリティの使用は、によって増加し続けていることを指摘しました。 %(4番目に大きい)は、「コアテクノロジー産業以外では、[financial services]が前進する傾向があるために予想される」と述べています。 -思考と機敏なセキュリティソリューション。」

どのようなバグが見つかりましたか?

発見されているバグの種類を知ることは、セキュリティを構築する上で重要な部分です。セキュリティの世界で流行しているようなものに対応するために準備された問題。

HackerOneの調査によると、クロスサイトスクリプティングの脆弱性はから最も発見されたままです。 から2021、7前年比での増加率。情報開示が増加しました58%YoY、3位から2位への上昇をトリガーします。それは、3番目にスライドした不適切なアクセス制御を置き換えました。

しかし、今年最も危険な脅威はビジネスロジックエラーであり、これは67%YoYでトップに入る105人で初めてHackerOneはそのレポートを公開してきました。

ビジネスロジックエラーは、攻撃者がサイトの正当な機能を悪用してサイトの所有者に損害を与える方法です。この例には、請求されないほど早く購入をキャンセルするが、購入に関連するロイヤルティポイントを獲得するなどが含まれます。または、サイトが価格設定ロジックを処理する方法を悪用することにより、eコマースカート内のオブジェクトに低価格を注入します。これらのエラーは、システムを破壊する方法ではなく、正当であるが貧弱なサイト設計を悪用する方法です。

バグはもっとありますか、それともレポートはもっとありますか?

このレポートの中心的な質問は、バグの数かどうかです。ソフトウェアが実際に増加している場合、またはバグバウンティプログラムの人気が高まっているために既存のバグがより頻繁に発見されている場合は、追加の洞察なしに明確に答えることはできません。私はHackerOneに意見を求めましたが、まだ返答がありません。この記事は更新されます。

その洞察がなくても、特にバグがどのように発見されているかに関するHackerOneの数値を考慮すると、結論を出すことは可能です。たとえば、バグバウンティプログラムはによってのみ上昇しました%今年、報告42、805バグ

の38、805。 2種類のバグバウンティプログラムのうち、プライベートバウンティ(招待されたハッカーのみが利用可能)は16%、一方、公的報奨金は2%しか増加しませんでした。

バグを見つける他の2つの方法、脆弱性開示プログラム(VDP)と侵入テストは、実際の成長があった場所でした。 VDPからのレポートはによって上昇しました%、および侵入テストからのバグレポートは驚くべきものでした67%。

HackerOneは、ペネトレーションテストの人気が大幅に高まっていると述べました。これは、「セキュリティ規制と標準への準拠に対する顧客の関心が高まったため」とのことです。ただし、ペネトレーションテストは、プライベートバグバウンティが行うバグのほんの一部を見つけているだけです。ペネトレーションテストは1を発見しました、804のバグ2021プライベートバウンティ25、278。

見る: Google Chrome:知っておく必要のあるセキュリティとUIのヒント( TechRepublic Premium)

フォームレポートが届くかどうかに関係なく、HackerOneは、ハッカーを利用したソリューションがその価値を証明していると述べました。 「組織がバグバウンティ、VDP、および侵入テストから得たデータと脆弱性の洞察により、問題が発生している場所と、リソースとトレーニングをどこに向ける必要があるかをより適切に特定できます」とレポートは結論付けています。

それがあなたを慰めるべきかどうか:バグの数が増えているからではなく、彼らの力を使っているホワイトハットハッカーの数のために、より多くのバグが発見されているようです善(そして利益)のために成長しています。それが本当に意味するのは、あなたのシステムはおそらく他のみんなと同じようにバグだらけだということです。唯一の問題は、あなたがまだあなたのものを見つけていないということです。

Cyber​​security Insider Newsletter

最新のサイバーセキュリティニュース、ソリューション、およびベストプラクティスに遅れないようにすることで、組織のITセキュリティ防御を強化します。火曜日と木曜日に配信

今日サインアップする

も参照してください

  • サイバーセキュリティプロになる方法:チートシート(TechRepublic)
  • NISTサイバーセキュリティフレームワーク:専門家向けのチートシート(無料PDF)(TechRepublic)
  • モバイルVPNアプリとはなぜそれらを使用する必要があるのか​​(TechRepublic Premium)
  • サイバーセキュリティとサイバー戦争:もっと必読の記事(TechRepublic on Flipboard)
    • Photo of hadmin

    hadmin

    Related Articles

    Photo of iOS15.2の新しいアプリプライバシーレポートとその他の新機能の使用方法

    iOS15.2の新しいアプリプライバシーレポートとその他の新機能の使用方法

    12月 18, 2021
    Photo of CES 2022のためにラスベガスに行きますか? CLEARのヘルスパスをダウンロードして、予防接種のステータスを証明してください

    CES 2022のためにラスベガスに行きますか? CLEARのヘルスパスをダウンロードして、予防接種のステータスを証明してください

    12月 31, 2021
    Photo of LinuxサーバーがLog4jに対して脆弱かどうかをテストする方法

    LinuxサーバーがLog4jに対して脆弱かどうかをテストする方法

    12月 15, 2021
    Photo of 2022年の10のビッグデータと分析の解像度

    2022年の10のビッグデータと分析の解像度

    12月 24, 2021
    Back to top button