Компания HackerOne в партнерстве с образовательным порталом для хакеров HackEDU объявила о запуске новой услуги — бесплатных «песочниц» для тестирования уязвимостей. Выделенные среды помогут отказаться от настоящего взлома в поисках багов, сообщает BleepingComputer. Специалисты HackerOne создали их после аудита собственной платформы.
Всего доступно 5 разных сред, каждая моделирует свой тип уязвимостей. Они основаны на реальных, закрытых багах интернет-инфраструктуры и публичных сервисов:
- Кликджекинг. Внедрение червя через инструмент Player Card, используемый для вставки видео в Twitter. Атака была обнаружена в мае 2018 года.
- XXE-инъекции. Атака позволяла как минимум читать, а в отдельных случаях, и воровать файлы с сервера. Найдена компанией SEMrush в марте 2018 года.
- Инъекции кода. Атака позволяет управлять сервером. Найдена на фотохостинге Imgur в апреле 2017 года.
- SQL-инъекции. Внедряя SQL-код, можно увести данные из базы данных. В тестовой песочнице предложат проделать это с базой для WordPress. Основной для среды стала реальная атака на один из сайтов такси-сервиса Grab, обнаруженная в ноябре 2017 года.
- Межсайтовый скриптинг. Позволят создать фейковую Marketo-форму для кражи персональных данных. Атака найдена в августе 2017 года.
Новые песочницы должны привлечь больше внимания к бесплатным хакерским курсам Hacker101, которые развивает HackerOne.
Напомним, ранее AIN.UA сообщал, что Amazon открыл внутренние курсы по машинному обучению для всех желающих.
