|
Компанія HackerOne надала хакерам «пісочниці» (виділені середовища для безпечного виконання програм) для відпрацювання навичок. Компанія змоделювала їх за підтримки HackEDU після усунення популярних вразливостей на власній платформі.
Як повідомляється, під час проходження «пісочниці» користувач отримує інформацію про уразливість, її пошуку і усунення. Всього в HackerOne створили п'ять «пісочниць» для навчання розробників, кожна з яких присвячена одній з нижчеперелічених вразливостей:
- Клікджекінг. Атака виявлена в травні 2018 року і проводилася через інструмент Player Card, який використовується в Twitter для вставки відео. Після розміщення користувачем контенту атакуючий може впровадити комп'ютерного хробака.
- XML External Entity. Уразливість дозволяє вкрасти файли з сервера. Виявлена в березні 2018 року.
- Remote Code Execution. Віддалене виконання шкідливого коду дозволяє отримати доступ на сервер. Виявлена на Imgur в квітні 2017 року.
- SQL Injection Attack. За допомогою впровадження SQL-коду зловмисник може вкрасти інформацію з баз даних. Цей приклад створений на основі баз WordPress, вперше атака була виявлена в листопаді 2017 року.
- Cross-Site Scripting. Міжсайтовий скриптинг дозволяє розмістити на сайті підроблену сторінку для отримання даних користувача. Уразливість виявлена в серпні 2017 року.
Наостанок зазначимо, що за допомогою пісочниць в HackerOne намір привернути увагу до власних безкоштовних онлайн-курсів Hacker101.
Джерело: tproger
|
