HackerOne宣布,它为想要测试和磨练自己技能的黑客提供了一套共五种沙箱环境,这些环境都是根据其平台上所报告的流行漏洞建立的。
这些沙箱是和网络安全培训公司HackEDU(https://hackedu.io)合作的结果,并且还借此开展了由漏洞挖掘和奖励平台免费提供的Hacker101在线黑客培训计划。
用Hackboxes测试你的黑客技能
这五个Hackboxes是由HackEDU开发的,并且是平台交互式课程的一部分。
它们都包括一个存在漏洞的应用程序模型以及一个可以拦截和修改web请求的代理工具。
而HackerOne和HackEDU制作的其中的一个测试环境通过play cards复现了蠕虫式点击劫持攻击,该漏洞于2018年5月报告给了Twitter。
https://hackedu.io/hacktivity/highly-wormable-clickjacking-in-twitter-player-card
在另一个环境中,黑客将挑战复制xm l外部实体(XXE)漏洞,该漏洞至少可以被利用来从服务器读取任意文件。该漏洞在2018年3月被报告给SEMrush。
https://hackedu.io/hacktivity/xxe-in-site-audit-function
第三个Hackbox是试图通过使用命令注入攻击来获得服务器的控制权。现实中对应的漏洞是在Imgur中发现的,并于2017年4月公布。
http://hackedu.io/hacktivity/rce-by-command-line-injection-to-gm-convert
Grabtaxi拥有的网站中的一个漏洞被用来为创建SQL注入测试环境。该公司于2017年11月收到了该漏洞的报告。
http://hackedu.io/hacktivity/drivegrab-sql-injection
最后一个沙箱是关于跨站点脚本(XSS)漏洞,漏洞位于HackerOne用来管理联系人表单的第三方组件中。该漏洞于2017年8月披露。
https://hackedu.io/hacktivity/stealing-hackerone-form-data-using-marketo-xss
这些演示的目的是教育性的,它提供一个安全和合法的方式来实践现实世界的黑客技术。而且还提供了每个漏洞如何生效的原理解释,并且指导用户发现和利用漏洞。
“黑客是一种备受追捧的技能,但是并不总是清楚如何开始或提升到下一个水平。这就是为什么我们创建了Hacker101,”Cody Brocious,HackerOne安全研究人员和黑客教育主管这么说到。
原文链接:https://www.bleepingcomputer.com/news/security/hackerone-offers-free-sandboxes-to-replicate-real-world-security-bugs/