Cross-site scripting meest gemelde lek op HackerOne
Bedrijven zoals Twitter, Uber en Dropbox belonen sinds enige tijd hackers en beveiligingsonderzoekers voor het rapporteren van kwetsbaarheden in hun websites en webapplicaties. Hiervoor maken ze gebruik van het platform HackerOne, dat onder andere door twee Nederlanders werd opgericht.
Voor het melden van beveiligingsproblemen ontvangen de onderzoekers een financiële beloning. Inmiddels zijn er 1714 beveiligingslekken via HackerOne openbaar gemaakt. Indiase onderzoekers van beveiligingsbedrijf Fallible konden 1359 van deze kwetsbaarheden classificeren, zodat ze konden zien wat voor problemen het vaakst worden gemeld. Dan blijkt dat cross-site scripting het meest voorkomende probleem is.
Cross-site scripting is een probleem waarbij een aanvaller code op een website plaatst die vervolgens in de browser van bezoekers wordt uitgevoerd. Op deze manier kan een aanvaller bijvoorbeeld cookies stelen en zo toegang tot het account van een gebruiker krijgen. Het probleem is al jaren bekend, maar komt nog altijd voor in websites en webapplicaties. Van de in totaal 1359 geclassificeerde kwetsbaarheden die werden gerapporteerd vielen er 375 in deze categorie.
Het onderliggende probleem waardoor cross-site scripting mogelijk is, is dat de invoer van gebruikers niet goed wordt gecontroleerd. Dit blijkt een algemeen terugkerend probleem te zijn, aangezien bijna 28% van alle openbaar gemaakte kwetsbaarheden die bij HackerOne werden gemeld hierdoor wordt veroorzaakt. Een overzicht van alle verschillende soorten beveiligingslekken is op deze pagina te vinden.
SQL Injection, Broken/Open Authentication, Memory Corruption (buffer overflows, http headers, etc.) kunnen "dodelijk" zijn voor je webapp maar zijn moeilijker te vinden / exploiten, er zijn meer skills voor nodig, developers & testers letten er ook meer op (als het goed is....).
@Dick99999: Hackerone richt zich voornamelijk op webapplicaties en een klein deel mobile apps + een nog kleiner deel fat clients en embedded producten. De meeste testers zullen dus zoeken naar web kwetsbaarheden want tijd is geld.
Sommige kwetsbaarheden zijn niet/minder van toepassing op een bepaalde technologie b.v. memory corruption unmanaged vs managed code.
Hier staan ook veel hints en tips en methodes om te testen .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.