HackerOne предложила бесплатные «песочницы» для хакеров. Можно безопасно моделировать взлом

Компания HackerOne в партнерстве с образовательным порталом для хакеров HackEDU объявила о запуске новой услуги — бесплатных «песочниц» для тестирования уязвимостей. Выделенные среды помогут отказаться от настоящего взлома в поисках багов, сообщает BleepingComputer. Специалисты HackerOne создали их после аудита собственной платформы.

Всего доступно 5 разных сред, каждая моделирует свой тип уязвимостей. Они основаны на реальных, закрытых багах интернет-инфраструктуры и публичных сервисов:

• Кликджекинг. Внедрение червя через инструмент Player Card, используемый для вставки видео в Twitter. Атака была обнаружена в мае 2018 года.
• XXE-инъекции. Атака позволяла как минимум читать, а в отдельных случаях, и воровать файлы с сервера. Найдена компанией SEMrush в марте 2018 года.
• Инъекции кода. Атака позволяет управлять сервером. Найдена на фотохостинге Imgur в апреле 2017 года.
• SQL-инъекции. Внедряя SQL-код, можно увести данные из базы данных. В тестовой песочнице предложат проделать это с базой для WordPress. Основной для среды стала реальная атака на один из сайтов такси-сервиса Grab, обнаруженная в ноябре 2017 года.
• Межсайтовый скриптинг. Позволят создать фейковую Marketo-форму для кражи персональных данных. Атака найдена в августе 2017 года.

Новые песочницы должны привлечь больше внимания к бесплатным хакерским курсам Hacker101, которые развивает HackerOne.

Напомним, ранее AIN.UA сообщал, что Amazon открыл внутренние курсы по машинному обучению для всех желающих.