HackerOne представила «пісочниці» для відпрацювання хакерських навиків (1)

Компанія HackerOne надала хакерам «пісочниці» (виділені середовища для безпечного виконання програм) для відпрацювання навичок. Компанія змоделювала їх при підтримці HackEDU після усунення популярних вразливостей на власній платформі.

Як повідомляється, під час проходження «пісочниці» користувач отримує інформацію про вразливості, її виправлення. Всього в HackerOne створили п’ять «пісочниць» для навчання розробників, кожна з яких присвячена одній з перерахованих нижче недоліків:

• Кликджекинг. Атака виявлена в травні 2018 року і проводилася через інструмент Card Player, використовуваний в Twitter для вставки відео. Після розміщення користувачем контенту атакуючий може впровадити комп’ютерного хробака.
• XML External Entity. Уразливість дозволяє вкрасти файли з сервера. Виявлена в березні 2018 року.
• Remote Code Execution. Віддалене виконання шкідливого коду дозволяє отримати доступ на сервер. Виявлена на Imgur у квітні 2017 року.
• SQL Injection Attack. З допомогою впровадження SQL-коду зловмисник може вкрасти інформацію з баз даних. Цей приклад створений на основі баз WordPress, вперше атака була виявлена в листопаді 2017 року.
• Cross-Site Scripting. Міжсайтовий скриптінг дозволяє розмістити на сайті підроблену сторінку для отримання даних користувача. Уразливість виявлена в серпні 2017 року.

Наостанок зазначимо, що з допомогою пісочниць в HackerOne мають намір привернути увагу до власних безкоштовним онлайн-курсів Hacker101.

Джерело: tproger