Компания HackerOne предоставила хакерам «песочницы» (выделенные среды для безопасного исполнения программ) для отработки навыков. Компания смоделировала их при поддержке HackEDU после устранения популярных уязвимостей на собственной платформе.
Как сообщается, во время прохождения «песочницы» пользователь получает информацию об уязвимости, ее поиске и устранении. Всего в HackerOne создали пять «песочниц» для обучения разработчиков, каждая из которых посвящена одной из нижеперечисленных уязвимостей:
- Кликджекинг. Атака обнаружена в мае 2018 года и проводилась через инструмент Player Card, используемый в Twitter для вставки видео. После размещения пользователем контента атакующий может внедрить компьютерного червя.
- XML External Entity. Уязвимость позволяет украсть файлы с сервера. Обнаружена в марте 2018 года.
- Remote Code Execution. Удаленное выполнение вредоносного кода позволяет получить доступ на сервер. Обнаружена на Imgur в апреле 2017 года.
- SQL Injection Attack. С помощью внедрения SQL-кода злоумышленник может украсть информацию из баз данных. Этот пример создан на основе баз WordPress, впервые атака была обнаружена в ноябре 2017 года.
- Cross-Site Scripting. Межсайтовый скриптинг позволяет разместить на сайте поддельную страницу для получения данных пользователя. Уязвимость обнаружена в августе 2017 года.
Напоследок отметим, что с помощью песочниц в HackerOne намерены привлечь внимание к собственным бесплатным онлайн-курсам Hacker101.
Источник: tproger