القائمة الرئيسية

الصفحات

كيف اهكر جوجل هل يمكن - تجربة شخصية لمطور

 ما تعلمناه من القرصنة (قانونيًا) على Google و Slack و Facebook

هناك قول مأثور: هناك نوعان من الشركات. أولئك الذين تم اختراقهم والذين يعتقدون أنهم لم يتم اختراقهم. سواء أعجبك ذلك أم لا ، فإن الإنترنت معطل من وجهة نظر أمنية ، وهذا هو السبب في أنه من المهم بالنسبة لك معرفة مدى ضعف عملك ، والعثور على أفضل طريقة لحماية عملائك.

كيف اهكر جوجل

لقد أدركت بعض الشركات بالفعل القيمة التجارية للأمن ، مما جعله عادة داخليًا ، وجعله جزءًا أساسيًا من تجربة العميل. هناك شركات أخرى عالقة في المفاهيم الخاطئة الشائعة حول أمان الويب ، مثل "أنا آمن" لأن لا أحد يرغب في اختراقنا أو أننا في أمان لأن وكالتنا على الويب تتولى تطوير الويب.

كيف اهكر جوجل هل يمكن - تجربة شخصية لمطور


التحقق من الواقع - أكثر من 92٪ من الشركات التي أجرينا عليها اختبارات الأمان معرضة للخطر. وإذا كانت شركات مثل Facebook و Paypal و Google وما إلى ذلك معرضة للخطر - فلماذا لا تكون كذلك؟ هناك الكثير لنتعلمه من الاختراقات التي أجريناها قانونيًا على العديد من عمالقة التكنولوجيا ، وردود أفعالهم على تقارير الثغرات الأمنية التي قدمناها.

Google - استفد من مجتمع قراصنة القبعة البيضاء

ما فعلناه: قبل عامين ، تمكن اثنان من مؤسسي Detectify ، فريدريك ألمروث وماثياس كارلسون ، من الوصول للقراءة على خوادم إنتاج Google عن طريق تحميل XML ضار إلى أحد خوادم الشركة. تبين لاحقًا أنه عيب كبير في XXE (بالنسبة لأي قارئ غير تقني ، أنت تفهم أن هذا سيء للغاية). دفعت Google لأعضاء فريقنا مكافأة قدرها 10.000 دولارًا أمريكيًا كنوع من الشكر ، تغطي الرحلة البرية لأعضاء فريقنا عبر أوروبا في الصيف نفسه.

ما تحتاج إلى تعلمه: كان Google في وقت مبكر يدرك أن القيام بكل شيء بنفسك أمر مستحيل. قاموا بإعداد برنامج الإفصاح المسؤول الذي سمح للمتسللين الأخلاقيين بالبحث عن نقاط الضعف نيابة عنهم ، والإبلاغ عنها ، والحصول على بعض المال مقابل كل ثغرة أمنية تم الإبلاغ عنها. انجذب العديد من الباحثين الأمنيين المستقلين إلى هذا المفهوم وعلى مر السنين نتج عنه عدد كبير من المشكلات الأمنية التي تم حلها.

إذا اخترت تنفيذ ذلك بنفسك ، فلا داعي لتقديم أي تعويض نقدي مبدئيًا لكل تقرير مقدم. تتمثل الخطوة الأولى في نشر طريقة يمكن للباحثين الأمنيين الاتصال بك من خلالها (على سبيل المثال ، بريد إلكتروني خاص بالأمان مثل [email protected]) وإبداء التقدير عندما يبلغ شخص ما عن وجود ثغرة أمنية. لزيادة الحافز للمساعدة ، ضع في اعتبارك نشر قائمة بأسماء كل من ساهم ، ما يسمى بـ "قاعة المشاهير الأمنية".

Slack - قم بتشغيل مكافأة الأخطاء وإصلاح المشكلات الحرجة على الفور ، حتى يوم الجمعة

ما فعلناه: تمكن Frans Rosén ، أحد باحثي الأمن في Detectify ، من إنشاء صفحة ضارة يمكنها إعادة ربط Slack WebSocket للمستخدمين بمقبس WebSocket الخاص به لسرقة رموز Slack الخاصة بهم. كانت الثغرة الأمنية ستسمح للقراصنة ذوي القبعات السوداء بالاستيلاء على حسابات Slack وقراءة الأرشيفات. أصلح Slack الخطأ في 5 ساعات يوم الجمعة ودفع 3000 دولار أمريكي كمكافأة. محرج!

ما تحتاج إلى معرفته: كان الجدول الزمني للثغرة الأمنية المقدمة مثالًا مثاليًا للعمل الأمني ​​والعلاقات العامة التي تم تنفيذها بشكل صحيح. لا تؤدي الثغرة الخطيرة حتمًا إلى كارثة في العلاقات العامة. من خلال العمل بسرعة على التقرير ، تمكن فريق Slack من تحويل الحادث إلى شيء إيجابي وتم الإشادة بعملهم الأمني ​​في وسائل الإعلام. كان رد فعلهم السريع ، على الرغم من اقتراب عطلة نهاية الأسبوع ، مثاليًا ومتوافقًا مع كيفية عمل مجتمع القبعة السوداء - فالأمن لا يقف ساكنًا خلال عطلات نهاية الأسبوع ...

الطريقة الأخرى ، التي ذكرها جيف بيلكناب CISO من Slack بوضوح على Twitter ، هي تشغيل مكافأة خطأ ، واستخدام مهارات أفضل الباحثين في العالم لتأمين منتجك.

Facebook - كن على دراية ببائعي الجهات الخارجية والخدمات المتصلة

ماذا فعلنا: فرانس يضرب مرة أخرى! هذه المرة ، وجد XSS مخزنًا على Facebook ، في البداية من خلال مزامنة Dropbox ، وبعد ذلك من خلال التوسع مع خدمات أخرى مثل Pinterest. باستخدام الملفات الموجودة في Dropbox الخاص به ، تمكن من إدخال كود البرنامج النصي الذي تم تنفيذه على Facebook.com. تم حل مشكلة الضعف لاحقًا ، بالطبع ، على الفور ، ودُفعت مكافأة قدرها 3500 دولار إلى فرانس.

ما تحتاج إلى معرفته: كان فرانس يعمل في البداية على اكتشاف عيوب في Dropbox عندما عثر على الثغرة الأمنية المرتبطة بـ Facebook. هذه هي الطريقة التي يعمل بها المخترقون عادة. يمرون من خلال ملحقات وإضافات الجهات الخارجية التي يتم استخدامها والخدمات المتصلة بموقعك. قد يكون موقع الويب الأساسي الخاص بك آمنًا ، ولكن نادرًا ما تقوم الشركات بإجراء فحوصات أمنية على البائعين الخارجيين وعمليات الدمج والخدمات المرتبطة.

قد تسأل من يقف وراء كل هذا؟

هي شركة سويدية ناشئة في مجال أمن تكنولوجيا المعلومات ، تأسست في عام 2013 من قبل مجموعة من كبار المتسللين ذوي القبعات البيضاء. Detectify هو جزء من مجتمع القرصنة الأخلاقي ، واليوم ، يستخدمون معرفة أكثر من 100 من المتسللين المختارين بعناية من جميع أنحاء العالم للحفاظ على أمان مستخدميهم.

تعليقات

التنقل السريع