HackerOne-Bericht über die teuersten Schwachstellen

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: HackerOne
Veröffentlicht von SecuPedia-Redaktion am 12. Juni 2019.

San Francisco, 11.06.2019 - HackerOne, eine Bug-Bounty-Plattform, die Unternehmen dabei unterstützt kritische Sicherheitslücken aufzufinden, veröffentlicht erstmals einen Forschungseinblick hinsichtlich der zehn wirkungsvollsten Sicherheitsschwachstellen, die im Rahmen seiner Programme gemeldet wurden. An diesen Schwachstellen haben die bei der HackerOne-Plattform registrierten Hacker den Angaben zufolge über 54 Millionen Dollar an Bounties ("Kopfgeldprämien") verdient.

HackerOne hat eine interaktive Seite veröffentlicht, auf der die Schwachstellen mit dem höchsten Schweregrad verzeichnet sind. Dieser ist zum einen bezogen auf die Zahl der Meldungen insgesamt, zum anderen auf die Häufigkeit mit der diese Schwachstellen seitens der Industrie gemeldet wurden. Die Daten basieren auf über 120.000 gemeldeten Schwachstellen aus mehr als 1.400 Kundenprogrammen weltweit.
 

Die HackerOne Top 10 der Sicherheitsschwachstellen:

1. Cross-site Scripting-Angriffe - Alle Typen (DOM-basiert, reflektiert, beständig, generisch)

2. Unsachgemäße Authentifizierung - Generisch

3. Offenlegung von Informationen

4. Privilege Escalation/Privilegienerweiterung

5. SQL-Injektion

6. Code-Injektion

7. Server-Side Request Forgery (SSRF) - serverseitige Fälschung von Anforderungen

8. Insecure Direct Object Reference (IDOR) - Objektreferenz auf diese Objekte ist manipulierbar

9. Unsachgemäß vergebene Zugriffsberechtigungen/Zugriffskontrolle - Generisch

10. Cross-Site Request Forgery (CSRF) - Unterschieben eines ungewollten Webaufrufs

 

Dazu Miju Han von HackerOne: "Wir sehen eine 40 %ige Überschneidung zwischen den Top 10 Sicherheitsschwachstellen mit der jüngsten OWASP Top 10-Veröffentlichung. Cross-site Scripting-Angriffe (XSS), das Offenlegen von Informationen und Injektionsvarianten sind auf beiden Listen vertreten. Beide Quellen unterstützen Sicherheitsabteilungen dabei, die größten Risiken zu erkennen. Unsere Liste bezieht zusätzlich mit ein wie oft die betreffenden Schwachstellen aufgetreten sind und wie sich ihr Wert in Bug Bounties beziffert."

Miju weiter: "Wenn man sich die kumulative Höhe der Bounties anschaut, die für kritische und höchst schwerwiegende Bugs gezahlt wurden, macht die Summe 60 % der insgesamt ausgezahlten Bug Bounties aus. Wenn man die Zahl der gemeldeten Schwachstellen untereinander vergleicht sind darunter drei Mal so viele schwerwiegende Bugs gegenüber kritischen gemeldet. Auf der anderen Seite summieren sich die für minder schwere Bugs gezahlten Bounties auf nur 8 % der Gesamtsumme, die in etwa 30 % der Zahl der gemeldeten Schwachstellen entspricht. Wir sind jetzt in der glücklichen Lage das umfassende Datenmaterial mit unseren Kunden und der Industrie zu teilen. Diese Informationen gestatten eine zuverlässige Einschätzung welche Schwachstellen wahrscheinlich am teuersten werden."

Weitere Details sowie der vollständige Bericht findet sich auf der "The HackerOne Top 10 Most Impactful Vulnerability Types" interaktiven Webseite.

Ein Blog dazu findet sich hier.

Kategorien E-Mail Service konfigurieren

  • Datenschutz / Datensicherheit
  • Produzierendes Gewerbe

Benutzergruppe

  • Alle Benutzer