E meta më e shpërblyer është XSS, e cila është ndër ato që janë relativisht të lira për tu identifikuar nga organizatat.

Skriptimi ndër-faqesh (XSS) mbeti cenueshmëria më ndikuese dhe kështu ajo që korr shpërblimet më të larta për hakerat etikë në vitin 2020 për një vit të dytë, sipas një liste të 10 dobësive kryesore të lëshuar të enjten nga HackerOne.

Dobësia – e cila u mundëson sulmuesve të injektojnë skripte nga klienti në faqet e internetit të shikuara nga përdoruesit e tjerë – u dha hakerave 4.2 milion dollarë në çmimet totale të bug-bursave vitin e kaluar, një rritje prej 26 përqind nga ajo që u pagua në 2019 për gjetjen e XSS të metat, sipas raportit.

Pas XSS në listën e ndërmarrjeve etike të piraterisë së “Top 10 Llojet më të Ndikueshme dhe të Shpërblyera të Vulnerabilitetit të vitit 2020” janë: Kontrolli i papërshtatshëm i hyrjes, zbulimi i informacionit, falsifikimi i kërkesës nga ana e serverit (SSRF), referenca e pasigurtë e objektit të drejtpërdrejtë (IDOR), përshkallëzimi i privilegjit, Injeksioni SQL, vërtetimi i papërshtatshëm, injeksioni i kodit dhe falsifikimi i kërkesave ndër-site (CSRF).

Në total, organizatat paguanin hakerave etikë 23.5 milion $ në të meta për të gjitha këto defekte këtë vit, sipas HackerOne, i cili mban një bazë të dhënash prej 200,000 dobësive të gjetura nga hakerat.

Sulmuesit përdorin dobësitë e XSS për të fituar kontrollin e llogarisë së një përdoruesi në internet dhe për të vjedhur informacione personale si fjalëkalimet, numrat e llogarive bankare, informacionin e kartës së kreditit, informacionin personal të identifikueshëm (PII), numrat e Sigurimeve Shoqërore dhe të ngjashme. Ndërsa ata përbëjnë 18 përqind të të gjitha dobësive të raportuara, hakerat etikë në të vërtetë janë nënpaguar për gjetjen e tyre, sipas HackerOne.

Një çmim bug-bounty për një defekt në XSS është rreth 501 dollarë, shumë më poshtë çmimit mesatar prej 3,650 dollarë për një të metë kritike, duke lejuar organizatat të zbusin bug-in e zakonshëm, theksuan studiuesit.

Në të vërtetë, studiuesit zbuluan se sa më e zakonshme është një cenueshmëri, aq më pak paguhen hakera etikë – dhe kështu më pak që paguajnë organizatat – për ta lokalizuar dhe zbutur atë, vëzhgoi drejtori i lartë i menaxhimit të produktit HackerOne, Miju Han.

 

“Gjetja e llojeve më të zakonshme të cenueshmërisë është e lirë”, tha ai në një deklaratë për shtyp, duke theksuar se vetëm tre nga 10 dobësitë kryesore në listë – kontrolli i pahijshëm i hyrjes, falsifikimi i kërkesës nga ana e serverit (SSRF) dhe zbulimi i informacionit – panë mesataren e tyre çmimet e mirat janë rritur më shumë se 10 përqind gjatë vitit.

Kjo tregon se përdorimi i hakerave etikë për të nuhatur defekte potencialisht mund të jetë një propozim më me kosto efektive për organizatat sesa zbatimi i “mjeteve dhe metodave tradicionale të sigurisë, të cilat bëhen më të shtrenjta dhe të vështira kur qëllimet ndryshojnë dhe sipërfaqja e sulmit zgjerohet”, tha Han.

Nga dobësitë që panë aksionet e tyre në rritje në vitin 2020, kontrolli i papërshtatshëm i hyrjes u rrit nga vendi i nëntë në të dytin, dhe zbulimi i informacionit, i cili qëndroi i qëndrueshëm në vendin e tretë për të përbashkëtën, u bë më i vlefshëm në tregun e bug-bounty, vunë në dukje studiuesit.

Çmimet për kontroll të papërshtatshëm të hyrjes u rritën 134 përqind nga viti në vit në pak më shumë se 4 milion $, ndërsa të mirat e gabimeve për zbulimin e informacionit u rritën 63 përqind nga viti në vit.

Për shkak se vendimet për kontrollin e qasjes duhet të merren nga njerëzit, jo nga teknologjia, potenciali për gabime është i lartë, thanë studiuesit. Këto defekte gjithashtu janë pothuajse të pamundura për t’u zbuluar duke përdorur mjete të automatizuara, gjë që e bën aftësinë e një hakeri etik për t’i identifikuar ato më të vlefshme, thanë ata.

Në të vërtetë, edhe ndërmarrjet e mëdha të teknologjisë që ishin historikisht rezistente për të qenë transparente në lidhje me protokollet e sigurisë së produktit të tyre janë ngrohur me idenë e dhënies së hakerave etikë për punën e tyre. Të dy Apple dhe ByteDance’s TikTok prezantuan programe publike, të bazuara në çmime, në 12 muajt e fundit.

Han vuri në dukje se rritja e interesit për piraterinë etike në vitin 2020 ka ardhur gjithashtu për shkak të rritjes së dixhitalizimit të produkteve dhe shërbimeve të organizatave për shkak të pandemisë COVID-19 dhe porosive të saj të qëndrimit në shtëpi.

“Bizneset u përpoqën të gjenin rrjedha të reja të të ardhurave, duke krijuar oferta dixhitale për klientët stili i jetës së të cilëve kishte ndryshuar në mënyrë dramatike,” tha ai në deklaratë. “Dhjetëra miliona punëtorë filluan të punojnë në distancë pavarësisht nëse ishin apo jo të gatshëm.”

Ky “ritëm i përshpejtuar i transformimit dixhital” u dha udhëheqësve të sigurisë një perspektivë të re në përdorimin e hakimit etik për të shtuar burimet ekzistuese të sigurisë, duke i bërë ata më të gatshëm të mbështesin një qasje të bazuar në pagesa për rezultatet, shtoi Han.