Приобретение сканера с лицензией на один год обойдется дешевле, чем выплата исследователям поощрений за десяток XSS-уязвимостей.
В последнее время для тестирования безопасности своих web-приложений компании все чаще обращаются к сторонним исследователям. В частности, большую популярность стали приобретать программы «Bug Bounty», в рамках которых за предоставление данных об уязвимостях экспертам полагается денежное вознаграждение. Подобные программы действуют во многих компаниях, в том числе в Microsoft , Uber , General Motors и многих других. Собственная программа выплаты вознаграждения за сообщения об уязвимостях есть даже у крупного порносайта PornHub .
На самом деле «Bug Bounty» не так эффективны, как может показаться, уверен глава High-Tech Bridge Илья Колошенко. Как сообщает компания WhiteHat Security, практически 80% всех существующих сайтов уязвимы к межсайтовому скриптингу. В то же время на долю XSS припадает 66,24% уязвимостей, о которых стало известно в рамках «Bug Bounty» (по данным Bugcrowd).
Для обнаружения различных типов XSS-уязвимостей существуют более-менее надежные автоматизированные сканеры, позволяющие обойтись без посторонней помощи. Безусловно, полученные с их помощью результаты часто оказываются ложноположительными, а для работы с самими сканерами требуются определенные навыки и время. Тем не менее, на правильную организацию программы «Bug Bounty» у компаний может уйти куда больше ресурсов.
По данным Bugcrowd, в нынешнем году вознаграждение за одну обнаруженную уязвимость в среднем составляет $505,79. Приобретение сканера с лицензией на один год обойдется дешевле, чем выплата исследователям поощрений за десяток XSS-уязвимостей.
Не в пользу программ выплаты вознаграждений говорит и возраст их участников, считает Колошенко. Возраст 75% исследователей, занимающихся поисками уязвимостей, составляет 18-29 лет (известны случаи , когда вознаграждения выплачивались даже детям). По словам эксперта, среди столь молодых участников редко встречаются настоящие профессионалы. Дело не столько в отсутствии навыков и опыта, как в неумении правильно преподнести свою работу. Обнаружение уязвимости представляет собой только первый шаг. Далее ее следует оценить и соответствующим образом презентовать, в противном случае исследование теряет всякий смысл.
Для 85% участников подобных программ поиск уязвимостей – всего лишь хобби (70% посвящают ему менее 10 часов в неделю). Там, где бессильны исследователи, победа достается киберпреступникам, считает эксперт. В погоне за большими деньгами и славой они могут работать круглосуточно в течение долгих недель и в итоге сделать то, что не удалось исследователям-любителям. Конечно, существуют исключения, но они только подтверждают правило. С такой точки зрения идея «Bug Bounty» подходит для тестирования платформ и систем, предназначенных для широкой аудитории, но в случае с небольшими компаниями она бесполезна и даже опасна, поскольку дарит ложное чувство защищенности.От классики до авангарда — наука во всех жанрах