Компания HackerOne, предоставляющая крупнейшую платформу для координации поисков уязвимостей и выплат по программе Bug Bounty, открыла среды для безопасного исполнения программ («песочницы») для отработки хакерских навыков. Об этом сообщается в блоге компании.
После устранения популярных уязвимостей на собственной платформе и сбора всех необходимых данных, компания HackerOne смоделировала уникальные «песочницы». При поддержке организации HackEDU, занимающейся интерактивным обучением кибербезопасности, новая акция позволит HackerOne привлечь энтузиастов к бесплатным видеокурсам Hacker101.
Всего у HackerOne появилось пять «песочниц», которые являются некими образовательными платформами для разработчиков. Пользователь во время их прохождения сможет проверить свои навыки взлома и получить информацию об уязвимости, её поиске и устранении.
Первая «песочница» носит название «Кликджекинг». Это хакерская атака, проведённая через инструмент Player Card, который используется в Твиттере для вставки видео. Она была обнаружена в мае текущего года. Вторая «песочница» «XXE-инъекции» — об уязвимости, позволяющей украсть файлы с сервера, обнаруженной в марте 2018 года.
Следующая «песочница» называется «Удалённое исполнение вредоносного кода». Метод был обнаружен на Imgur в апреле 2017 года и позволял злоумышленникам получить доступ на сервер. Четвёртая «песочница» связана с базами WordPress и называется «SQL-инъекции». Суть атаки, обнаруженной в ноябре того же года, заключается в том, что злоумышленники внедряли специальный SQL-код и далее успешно получали доступ к базам данных.
Последняя «песочница» имеет простое название — «Межсайтовый скриптинг». Он позволял злоумышленникам разместить на сайте поддельную страничку, с помощью которой они получали данные пользователей. Такая уязвимость была обнаружена в августе 2017 года.
