最新新闻
纽衡MCT防弹营养咖啡零售价多少钱一盒,代理拿货价格 纽衡MCT防弹营养咖啡用的人多不多,不会有副作用吧 纽衡咖啡减肥效果怎么样,一疗程能瘦多少斤,怎么代理 林顺潮眼科医院:角膜塑形镜——实现在睡梦中“恢复”视力的梦想! 在您的花园中花费一些时间就可以带来令人惊讶的收获 房地产市场拥有复苏的早期迹象 但风险依然存在 如何用蓝色进行装饰:室内专家分享她的技巧 如何在棕榈滩杰斐逊巷海滨别墅中的生活 买家需求的激增已经超过了待售房屋 一些卖家跃跃欲试趁机会减少挂牌量 限量版Velocity CPU水冷块将以249.99美元的价格出售 SD协会已发布SD 8.0规范 其传输速度高达3940MBs 英特尔盒装CPU散热器对第10代Comet Lake处理器进行了小改款 最新的三星Galaxy Book S由Intel Core i5 L16G7驱动 MSI推出具有165Hz刷新率的MSI Optix PAG272QR2游戏显示器 Clicky Huntsman游戏键盘在百思买可以便宜60美元 AMD计划使用最新的CPU和GPU技术发布几个新的APU系列 CPU monkey是一个数据库 它由多个处理器及其各自的性能编号组成 Mova独立VR耳机可提供现成的5G跟踪功能 Xiaomi RedmiBook笔记本电脑起价530美元 Arvind Fashions推迟支付4月份员工工资的50%到80% RSH公司最近表示已与一家制药公司合作推出了新的系列产品 印度锁定解除后五月份将有2000万人重新上班 Flipkart表示将注册芒果买卖平台给农民生产者组织 JioMart可能会成为电子商务杂货店的主要参与者之一 百事可乐与Dunzo合作提供新的食品品牌 Snapdeal的业务约80%来自二级城市 印度的失业率继续徘徊在24%以上 Zomato还建立了一些安全流程和检查程序以确保安全输送 古驰与圣罗兰放慢脚步并重新考虑他们将生产多少商品 消费类公司寻求削减商品及服务税以促进销售
您的位置:首页 >资讯 > 金融 >

Bug赏金初创公司HackerOne在分析错误后遭到攻击

2019-12-06 17:42:22   来源:

Bug赏金计划启动HakeroneInc.意外地给研究人员提供了读取和修改一些Bug报告的能力后,遭遇了安全漏洞。

这一事件的发生是因为Hackerone的一位与研究人员相对应的分析师提供了一个curl命令,错误地包含了一个有效的会话cookie。这使任何人都有能力访问和修改分析师可以访问的相同数据。

一位名叫haxta4ok00的研究人员在11月24日的HackerOne社区委员会上写道,Ars Technica今天首先注意到,他被允许进入社区,他也可以证明这一事实。HackerOne确实动作很快,在初始报告发布两小时零三分钟后,取消了对会话cookie的访问,但问题是它是如何开始的。

HackerOne的官方解释是,其安全分析师未能删除从泄露会话cookie的浏览器控制台复制的curl命令的部分内容。

HackerOne说:“会话cookie绑定到特定的应用程序,在本例中是hackerone.com。”“当会话cookie在另一个位置被重用时,应用程序不会阻止访问。这是已知的风险。由于HackerOne的许多用户通过移动连接和代理进行工作,封锁访问将降低这些用户的用户体验。“

公司现已对其安全程序作了修改。研究Cherhaxta4O00还支付了20000美元,用于查明和报告安全问题。

网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)对SiliconANGLE表示:“现在由HackerOne宣布的安全措施之所以没有实施,是非常令人惊讶的,因为其中一些措施具有根本性和不可缺少的性质。”其他纠正措施,“他补充说,也可能看起来有问题,例如阻止进入特定国家。

Kolochenko解释说:“鉴于HackerOne持续宣传多元化和国际化的人群智慧,安全研究人员可能至少会感到不舒服,甚至感到尴尬。””而且重要的是,老练的网络罪犯将最轻松地绕过这一措施。尽管如此,HackerOne对这一事件的迅速和透明的披露对其他人来说是一个值得称赞的例子,并再次提醒我们,人类是最薄弱的一环。”.

Tripwire Inc.的漏洞和暴露研究团队的计算机安全研究员克雷格·杨(Craig Young)称这一消息令人震惊。他指出,与此前披露的Bugzilla或谷歌问题追踪器(Google DiseaseTracker)内部披露的事件或弱点类似,曝光非公开HackerOne报告对所有互联网用户都是一种危险。

杨补充道:“虽然我赞扬HackerOne的回应,但这一事件再次提醒人们,通过使用BugCrowd或HackerOne之类的托管漏洞报告服务,组织承担了不同的风险。”“这些供应商整合了有价值的数据,为情报机构甚至犯罪分子提供了一个极具吸引力的攻击目标。”

通过我们的1-单击“订阅我们的YouTube频道”(下面)显示您对我们的任务的支持-我们拥有更多的用户,然后YouTube的算法将我们的内容推广到对#企业技术感兴趣的用户。


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。