注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 9382|回复: 0

[黑客新闻] 金融服务:漏洞赏金成功秘诀

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47848
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   707 小时
   最后登录
   2022-8-11
发表于 2021-3-28 21:54:17 | 显示全部楼层 |阅读模式
在我们最近的网络研讨会“漏洞赏金计划:从金融服务业实施中获得的经验教训”中,我们听到了来自全球最大的金融服务公司之一的appsec负责人的一些重要建议。这家大型公司的应用程序安全总监Jason Pubal谈到了他过去两年在黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防上准备并启动错误赏金计划的工作。您可以在此处观看重播。

该公司于2017年开始准备漏洞奖励计划,当时他们开始致力于改进和开发其当前的漏洞管理流程。正如Jason解释的那样,将这些流程放到适当的位置并使其正常运行有助于减轻其对漏洞赏金计划的实施。一旦流程到位,他们便在2018年初启动了漏洞赏金计划。当前范围包括所有面向公共和消费者的应用程序,并作为私人赏金计划运行。

在Jason讲述他们的故事时,他重点介绍了以下4条提示,以帮助那些考虑启动自己的漏洞赏金计划的人。

首先,建立良好的漏洞管理流程。Jason说:“如果您已经建立了可靠的漏洞管理流程,那么实施漏洞赏金计划非常容易。” 由于他们花了一些时间来建立可靠的流程,因此Jason指出,推出漏洞赏金计划“实际上比预期的要容易得多”。

其次,准备好改变您对Appsec敏捷开发技术的看法。杰森(Jason)的公司进行了2-3周的冲刺,这消除了他们过去不得不进行渗透测试的一周左右的时间。他们的测试过程必须更改,但不能放弃。他们从“看门人”方法转变为持续的安全性。现在,他们将笔测验与赏金计划结合起来,让笔测验集中于特定区域,而赏金计划可提供更全面的审查范围。

第三,自动化您的appsec程序。杰森(Jason)的团队利用黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防的API将错误报告提取到他们所谓的发现数据库中。然后,他们将该信息与资产数据合并,以便可以根据风险对错误进行评分。例如,如果将资产连接到PII,则该错误的得分会更高。然后,将错误报告,评分和资产数据全部发送到其错误跟踪系统,并将电子邮件发送给应用程序所有者。而且这都是自动化的!

Jason解释说:“我的整个团队实际上可能要休假一个月,研究人员将继续查找和报告问题,而黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防分类团队将继续对这些错误进行分类。” “我的团队根本没有采取任何行动,就发现了错误,并向应用程序团队报告了问题,并且问题得到了解决。”

最后,使用黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防提供的操作杠杆。Jason部署了黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防的VPN服务以 捕获有意义的数据,从而为他提供了他所寻找的见识和功能。

Jason还从一个私人计划入手,邀请具有适当技能和卓越素质的黑客参与。他们的私人程序最初只有5个黑客,但很快发展到今天已有30多个黑客参与。

对于2019年,Jason和他的团队正准备转向公共Bug赏金计划,并将其范围扩展到其产品组合中的每个面向互联网的应用程序。这将包括移动和B2B应用程序以及它们的API。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表