Báo cáo tiền thưởng về lỗi do clickjacking giả mạo: Sự thật chính

Clickjacking Bug Bounty

Bạn có biết về các báo cáo tiền thưởng giả mạo lỗi clickjacking không? Nếu không, bạn nên. Bài viết này sẽ giúp bạn cập nhật tốc độ và giúp bạn tỉnh táo.

Báo cáo tiền thưởng lỗi clickjacking là gì?

Nếu chúng ta bắt đầu bằng cách chia nhỏ thuật ngữ này thành các phần thành phần của nó, là một chương trình do một tổ chức cung cấp, trong đó các cá nhân được thưởng cho việc tìm và báo cáo lỗi phần mềm. Các chương trình này thường được các công ty sử dụng như một cách tiết kiệm chi phí để tìm và sửa các phần mềm, do đó cải thiện tính bảo mật cho các sản phẩm của họ. Họ cũng giúp xây dựng thiện chí với cộng đồng an ninh.

Đối với những thợ săn tiền thưởng (hoặc tin tặc mũ trắng), họ có cơ hội kiếm tiền và được công nhận về kỹ năng của mình.

Clickjacking là một kỹ thuật độc hại được sử dụng để lừa người dùng nhấp vào thứ gì đó mà họ nghĩ là an toàn nhưng thực sự lại có hại. Ví dụ: một tin tặc có thể tạo một nút giả giống nút “thích” trên một trang mạng xã hội. Khi người dùng nhấp vào nó, họ có thể vô tình thích một trang hoặc đăng nội dung có hại. Mặc dù điều này có vẻ như là một trò đùa vô hại, nhưng clickjacking có thể được sử dụng cho các mục đích xấu hơn, chẳng hạn như lây nhiễm vào máy tính của người dùng hoặc đánh cắp thông tin nhạy cảm.

Với những thiệt hại tiềm ẩn, clickjacking có thể gây ra, những khoản tiền thưởng lớn báo cáo các trường hợp xảy ra có thể rất có lợi cho một tổ chức.

Xem tiếp:   Interpol bắt giữ hơn 1.000 tội phạm mạng từ 20 quốc gia; Thu được 27 triệu đô la

Công ty của tôi không cung cấp tiền thưởng lỗi. Nó có cần phải không?

Vì một báo cáo tiền thưởng lỗi có thể mang lại lợi ích tài chính cho cả thợ săn tiền thưởng và tổ chức, báo cáo trước đây thường sẽ không chờ đợi lời mời để săn lỗi và sẽ có cách tiếp cận chủ động hơn. Điều này có nghĩa là bạn có thể được gửi báo cáo tiền thưởng ngay cả khi bạn không có chương trình tiền thưởng lỗi chính thức. Thực tiễn này – khi một báo cáo không được yêu cầu kèm theo một yêu cầu về tiền – thường được gọi là “tiền thưởng cầu xin”.

Vậy vấn đề là gì?

Có xu hướng ngày càng tăng trong các báo cáo tiền thưởng lỗi giả mạo bởi vì các cá nhân đang sử dụng các công cụ quét để tạo ra “vấn đề” và sau đó gắn cờ chúng cho nhiều tổ chức nhất có thể mà không xem xét rủi ro thực sự.

Trong khi một số báo cáo trông giả mạo, các báo cáo khác có thể đủ tinh vi để lừa một tổ chức với số tiền hàng nghìn đô la. Và khi trở thành nạn nhân, bạn không chỉ trả một phần thưởng không đáng có; bạn cũng cho thợ săn tiền thưởng thấy rằng bạn có chuyên môn bảo mật hạn chế – một điểm yếu mà họ rất có thể quay lại và khai thác.

Tất nhiên, đóng cửa và bỏ qua tất cả các báo cáo về tiền thưởng lỗi không phải là câu trả lời. Có những người thực sự tốt ngoài kia đang cố gắng giúp đỡ, và khám phá của họ có thể chỉ cứu cho doanh nghiệp của bạn rất nhiều đau buồn và chi phí.

Vì vậy, làm thế nào để bạn biết liệu báo cáo tiền thưởng lỗi có phải là chính hãng hay không, đặc biệt nếu bạn không phải là chuyên gia bảo mật hoặc không có đội bảo mật tại chỗ?

Xem tiếp:   Một số gia đình phần mềm độc hại sử dụng dịch vụ trả tiền cho mỗi lần cài đặt để mở rộng mục tiêu của họ

Làm thế nào để xác định một báo cáo tiền thưởng lỗi clickjacking giả mạo?

Khi những báo cáo như vậy từ những người tự định vị mình là chuyên gia bảo mật xuất hiện, có thể khó xác định đâu là thật và đâu là giả nhưng có những công ty có thể tiến hành đánh giá các báo cáo tiền thưởng lỗi để bạn yên tâm. Tính năng này được cung cấp bởi các nhà cung cấp dịch vụ quét lỗ hổng bảo mật nhất định, là một phần của dịch vụ của họ, cũng sẽ giám sát liên tục hệ thống của bạn để xác định, phân tích và khắc phục các lỗ hổng nghiêm trọng nhanh hơn.

Intruder, cung cấp một dịch vụ như vậy và đã giúp khách hàng phát hiện ra các báo cáo tiền thưởng lỗi clickjacking giả mạo trong nhiều năm, đã chứng kiến ​​sự gia tăng các trường hợp gần đây. Chỉ vài tuần trước, một trong những khách hàng Vanguard của họ đã được thông báo về một “báo cáo lỗ hổng bảo mật” ẩn danh. Phóng viên tuyên bố có thể vượt qua các biện pháp bảo vệ chống tấn công bằng cách sử dụng một số JavaScript có sẵn công khai, nhưng nhờ kiến ​​thức chuyên sâu của nhóm Vanguard về hệ thống của khách hàng, họ có thể xóa báo cáo là giả rất nhanh chóng.

Ngoài ra còn có một số điều bạn có thể chú ý để tự phát hiện báo cáo giả:

Liên quan đến tình huống của bạn. Nếu đó là một báo cáo tiền thưởng lỗi chất lượng cao, nó sẽ đề cập đến hệ thống, trang hoặc chương trình mà tổ chức của bạn sử dụng và cụ thể về chi tiết của nó. Giải thích về tác động. Một thợ săn tiền thưởng lỗi thực sự sẽ nỗ lực vì phần thưởng của họ và sẽ có thể chứng minh rằng lỗ hổng mà họ tìm thấy còn tốn kém hơn đối với bạn so với “phí” của họ. Họ càng cung cấp nhiều thông tin về tác động của lỗ hổng bảo mật cả về quy mô và tác động đến trang web và tổ chức của bạn thì càng tốt. Cấu trúc của báo cáo. Một người nào đó chạy thư hàng loạt từ các báo cáo tiền thưởng lỗi giả mạo rất có khả năng sử dụng mẫu cho báo cáo của họ và có thể sử dụng các thuật ngữ chung chung không liên quan đến doanh nghiệp của bạn. Điều khoản thanh toán. Nếu một thợ săn tiền thưởng yêu cầu thanh toán trước mà không cung cấp bất kỳ chi tiết nào về phát hiện của họ, thì đây là một dấu hiệu đỏ. Bạn có thể trả lời bằng cách nói rằng bạn không thể đưa ra tiền thưởng nếu không xem báo cáo trước và xem họ có phản hồi hay không, hoặc bạn có thể nhận được sự trợ giúp của một chuyên gia như Intruder, người sẽ tư vấn về cách hành động tốt nhất. Tuân thủ các chính sách của bạn. Xem xét thiết lập một hộp thư bảo mật cụ thể và giới thiệu một chính sách thông qua tệp security.txt cho biết rằng bạn sẽ chỉ xem xét các báo cáo tiền thưởng được gửi đến địa chỉ đó. Sao chép. Một cách tốt khác để xác định một khoản tiền thưởng ăn xin là tìm kiếm các trường hợp trực tuyến nơi các công ty khác đang nhận được các báo cáo tương tự. Một báo cáo tiền thưởng lỗi chính hãng sẽ là duy nhất cho hệ thống và tình huống của bạn.

Xem tiếp:   Cửa hậu mới của Saitama Quan chức được nhắm mục tiêu từ Bộ Ngoại giao Jordan

Việc trở thành nạn nhân của một báo cáo tiền thưởng lỗi giả mạo có thể khiến bạn mất tiền và khiến bạn phải hứng chịu một đợt tấn công của các báo cáo giả mạo khác, hoặc tệ hơn là các cuộc tấn công, trong tương lai. Hãy tránh những vấn đề như vậy bằng cách liên tục quét tự động và đội ngũ chuyên gia bảo mật chuyên nghiệp ở bên cạnh bạn, từ một công ty như Intruder. Khả năng thăm dò sâu hơn và xác nhận những điểm yếu tiềm ẩn có thể có tác động rất lớn đến doanh nghiệp của bạn.

.

Related Posts

Check Also

Trình tạo ‘lượng tử’ mới cho phép những kẻ tấn công dễ dàng tạo các phím tắt độc hại cho Windows

Một công cụ phần mềm độc hại mới cho phép các tác nhân tội phạm …