مهندس امنیت فیسبوک، رجینالدو سیلوا، میگوید که فیسبوک از سال ۲۰۱۱ مبلغ ۴٫۳ میلیون دلار (۳٫۸ میلیون پوند) برای گزارش بیش از ۲۴۰۰ آسیبپذیری ارائهشده در مورد حفرههای آن در چارچوب طرح پاداش در برابر گزارش آسیبپذیری پرداخت کرده است.
این پرداختهای انجامشده در چارچوب یکی از شایعترین برنامههای پاداش آسیبپذیری صورت گرفته است و ۸۰۰ پژوهشگر برای گزارشهای خود در مورد آسیبپذیریهای متنوعی از جمله تزریق کد (XSS)، جعل درخواست میانوبگاهی (CSRF) و حفرههای منطقی این شرکت مبالغی را دریافت کردهاند.
سال گذشته فیسبوک نسبت به سال قبل از آن مبالغی کمتر معادل ۹۳۶ هزار دلار (۶۴۴۴۷۷ پوند) به ۲۱۰ پژوهشگر که ۵۲۶ حفره را گزارش کرده بودند، پرداخت کرده بود.
متوسط پرداخت برای حفرهها برابر ۱۷۸۰ دلار (۱۲۲۵ پوند) بوده است. هند همچون سال قبل از آن در بالاترین جایگاه قرار داشته است، اما مصر و ترینیداد و توباگو، آمریکا و انگلستان را در ارائهی بیشترین گزارشها و دریافت بالاترین مبالغ جا گذاشتند.
سیلویا میگوید ابزارها و چارچوبها، حفرههای نرمافزاری سادهی وب را به راحتی از بین میبرند، در نتیجه نفوذگران باید آسیبپذیریهای منطقی تجاری را پیدا کرده و گزارش دهند.
او میگوید: «همچنانکه برنامهنویسها بالغتر میشوند، حفرههای امنیتی قدیمی نظیر XSS و CSRF نیز سختتر یافت میشوند، و در نتیجه بسیاری از شرکتکنندگان در طرحهای ما تحقیقات خود را بر روی منطق تجاری ما متمرکز میکنند.»
«همچنانکه فیسبوک رشد میکند، ما نیز در حفاظت از حفرههای امنیتی قدیمی خود در مراحل اولیه بهتر عمل میکنیم و در این راه از ابزارها و چارچوبهایی نظیر XHP و React استفاده میکنیم.»
«کیفیت گزارشهایی که ما دریافت میکنیم به مرور زمان بهتر میشوند، هم از نظر دستورات مرحله به مرحلهای که موجب ایجاد ایرادها میشوند و هم از نظر ملاحظات خطرات احتمالی که افراد را در فیسبوک تهدید میکنند.»
سیلویا میگوید که حفرههای منطقی به فیسبوک کمک میکنند که قواعدی را برای کدهای خود تنظیم و به کار برد تا همهی آسیبپذیریهای مشابه را از بین ببرد. تمرکز بر گزارشهای کیفیت بالا و نقصهای منطقی تجاری برای محققان امنیتی نیز برای از بین بردن آسیبپذیریها، سادهتر است.
فیسبوک حدود ۸۶۰ هزار دلار (۵۹۲ هزار پوند) به طور متوسط در سال میپردازد و در مقایسه با آن گوگل به طور میانگین ۱٫۲ میلیون دلار (۸۲۶ هزار پوند) را از سال ۲۰۱۰ در این برنامه پرداخت کرده است.
شرکت گوگل بیش از دو میلیون دلار (۱٫۴ میلیون پوند) در ۱۲ ماه گذشته برای دریافت گزارش از ۷۵۰ حفره پرداخت کرده است، و در این مدت برنامههای خود را طوری گسترش داده است که حفرههای اندروید نیز شامل این برنامه پرداخت شوند.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.