Valse Clickjacking Bug Bounty-rapporten: de belangrijkste feiten

Clickjacking Bug Bounty Nachrichten

Bent u op de hoogte van valse clickjacking bug bounty-rapporten? Zo niet, dan zou je dat moeten zijn. Dit artikel brengt je op de hoogte en helpt je alert te blijven.

Wat zijn clickjacking bug bounty-rapporten?

Als we beginnen met het opsplitsen van de term in zijn samenstellende delen, is een bug bounty een programma dat wordt aangeboden door een organisatie, waarin individuen worden beloond voor het vinden en rapporteren van softwarebugs. Deze programma’s worden vaak door bedrijven gebruikt als een kosteneffectieve manier om kwetsbaarheden in software te vinden en op te lossen, waardoor de beveiliging van hun producten wordt verbeterd. Ze helpen ook om goodwill op te bouwen bij de veiligheidsgemeenschap.

Voor de premiejagers (of white hat-hackers) hebben ze de mogelijkheid om geld te verdienen en erkenning te krijgen voor hun vaardigheden.

Clickjacking is een kwaadaardige techniek die wordt gebruikt om gebruikers te misleiden om op iets te klikken waarvan ze denken dat het veilig is, maar dat in feite schadelijk is. Een hacker kan bijvoorbeeld een nepknop maken die eruitziet als de „Vind ik leuk“-knop op een sociale-mediasite. Wanneer gebruikers erop klikken, kunnen ze onbewust een pagina leuk vinden of schadelijke inhoud plaatsen. Hoewel dit een onschuldige grap lijkt, kan clickjacking worden gebruikt voor meer kwaadaardige doeleinden, zoals het infecteren van de computer van een gebruiker met malware of het stelen van gevoelige informatie.

Gezien de potentiële schade die clickjacking kan veroorzaken, kunnen grote premies die gevallen ervan melden, zeer gunstig zijn voor een organisatie.

Mijn bedrijf biedt geen bug bounties. Is het nodig?

Omdat een bugbountyrapport financiële voordelen kan opleveren voor zowel de premiejager als de organisatie, zal de eerste vaak niet wachten op een uitnodiging om op bugs te jagen en een meer proactieve benadering aannemen. Dit betekent dat u bounty-rapporten kunt ontvangen, zelfs als u geen formeel bug-bounty-programma heeft. Deze praktijk – waarbij een melding ongevraagd komt met een verzoek om geld – wordt vaak een „beg bounty“ genoemd.

Wat is het probleem?

Er is een groeiende trend in valse bug bounty-rapporten omdat individuen scantools gebruiken om „problemen“ te genereren en deze vervolgens aan zoveel mogelijk organisaties te signaleren zonder rekening te houden met het echte risico.

Terwijl sommige er nep uitzien, kunnen andere rapporten zo geavanceerd zijn dat ze een organisatie duizenden dollars kunnen bedriegen. En door slachtoffer te worden, betaal je niet zomaar een beloning die onverdiend is; je laat de premiejager ook zien dat je beperkte beveiligingsexpertise hebt – een zwakte die ze hoogstwaarschijnlijk zullen terugkomen en misbruiken.

Natuurlijk is het sluiten van de deuren en het negeren van alle bug bounty-rapporten niet het antwoord. Er zijn echt goede mensen die proberen te helpen, en hun ontdekking kan uw bedrijf misschien veel verdriet en kosten besparen.

Dus hoe weet u of een bug bounty-rapport echt is, vooral als u geen beveiligingsprofessional bent of geen beveiligingsteam heeft?

Hoe herken je een nep-clickjacking bug bounty-rapport?

Wanneer dergelijke rapporten verschijnen van mensen die zichzelf positioneren als beveiligingsexperts, kan het moeilijk zijn om te bepalen wat echt en wat nep is, maar er zijn bedrijven die beoordelingen van bug bounty-rapporten kunnen uitvoeren om u gemoedsrust te geven. Dit wordt aangeboden door bepaalde aanbieders van kwetsbaarheidsscans, die als onderdeel van hun service ook continu toezicht houden op uw systemen om kritieke kwetsbaarheden sneller te identificeren, analyseren en verhelpen.

Indringer, dat een dergelijke service aanbiedt en klanten al jaren helpt bij het ontdekken van valse clickjacking-bugbountyrapporten, heeft de laatste tijd een toename van het aantal gevallen gezien. Nog maar een paar weken geleden, een van zijn Voorhoede klanten werden op de hoogte gebracht van een anoniem ‚kwetsbaarheidsrapport‘. De verslaggever beweerde in staat te zijn hun clickjacking-beveiligingen te omzeilen met behulp van een openbaar beschikbaar JavaScript, maar dankzij de diepgaande kennis van het Vanguard-team van de systemen van de klant, was het in staat om het rapport zeer snel als nep af te schrijven.

Er zijn ook een paar dingen waar je op kunt letten om zelf een nepmelding te herkennen:

  • Relevantie voor uw situatie. Als het een bug bounty-rapport van hoge kwaliteit is, verwijst het naar een systeem, pagina of programma dat uw organisatie gebruikt en is het specifiek in detail.
  • Verklaring van invloed. Een echte premiejager voor bugs zal moeite hebben gedaan voor hun beloning en zal kunnen aantonen dat de kwetsbaarheid die ze hebben gevonden duurder voor je is dan hun ‚vergoeding‘. Hoe meer informatie ze kunnen geven over de impact van de kwetsbaarheid, zowel qua omvang als implicaties voor uw website en organisatie, hoe beter.
  • Structuur van het rapport. Iemand die een massamail stuurt op basis van valse bug bounty-rapporten, zal zeer waarschijnlijk een sjabloon gebruiken voor hun rapportage en kan algemene termen gebruiken die niet relevant zijn voor uw bedrijf.
  • Betalingsvoorwaarden. Als een premiejager vooruitbetaling vraagt ​​zonder details over zijn bevindingen te verstrekken, is dit een rode vlag. Je kunt ofwel reageren door te zeggen dat je geen premie kunt aanbieden zonder eerst het rapport te zien, en kijken of ze reageren, of je kunt de hulp inroepen van een expert zoals Intruder, die je zal adviseren over de beste manier van handelen.
  • Naleving van uw beleid. Kijk naar het instellen van een gespecificeerde beveiligingsmailbox en introduceer een beleid via een security.txt-bestand waarin staat dat u alleen bountyrapporten die naar dat adres zijn verzonden, zult bekijken.
  • Koplopers. Een andere goede manier om een ​​beg bounty te identificeren, is door online te zoeken naar gevallen waarin andere bedrijven dezelfde rapporten ontvangen. Een echt bugbountyrapport is uniek voor uw systemen en situatie.

Als u het slachtoffer wordt van een nep-bug bounty-rapport, kunt u geld verliezen en in de toekomst een aanval van nieuwe nep-rapporten, of erger nog, aanvallen krijgen. Voorkom dergelijke problemen door continu geautomatiseerd scannen en een team van deskundige beveiligingsprofessionals aan uw zijde te hebben, van een bedrijf als Indringer. Het vermogen om dieper te peilen en potentiële zwakke punten te valideren, kan een enorme impact hebben op uw bedrijf.

David
Rate author
Hackarizona