Tentang Program Hadiah OnlyOffice

Desember lalu, kami akhirnya membuat keputusan untuk meluncurkan program hadiah bug di Hackerone untuk meningkatkan upaya peningkatan keamanan kami dengan mengundang komunitas peretas profesional untuk menguji solusi hanya kantor.

Bagaimana cara kerjanya? Pada hackerone, penggemar pengujian kerentanan didorong untuk menjalankan berbagai tes yang difasilitasi pada berbagai solusi kami dalam ruang lingkup program. Sebagai imbalannya, kami membayar hadiah sebanding dengan keparahan masalah dan menyelesaikannya dalam jangka waktu yang dikendalikan.

Untuk memiliki cengkeraman yang lebih baik pada tahap pertama, kami merahasiakan program kami. Pelaporan ini berbasis undangan dengan kuota undangan yang telah ditentukan sebelumnya dan kurasi kandidat. Di masa depan, kami berencana untuk membuka program ke komunitas yang lebih luas dan membiarkan arus masuk peretas organik.

Laporan singkat

Sepanjang tahun ini, kami telah mengundang 193 peretas ke program kami termasuk profesional terpilih dari pemain dan sukarelawan platform yang menjangkau kami untuk berbagi temuan mereka.

Hingga saat penulisan artikel ini, kami telah menerima total 42 pengiriman yang kami trias dan selesaikan 25 kerentanan dengan tingkat keparahan yang bervariasi. Di antara yang diselesaikan adalah 1 masalah kritis, 8 dari keparahan tinggi, dan 16 kelas yang lebih rendah. Jumlah total hadiah yang dibayarkan adalah $ 4200.

Masa tersibuk kebetulan adalah di bulan -bulan musim panas, dengan Agustus menjadi yang paling performatif.

Khususnya, beberapa peretas yang antusias mengajukan beberapa masalah sekaligus, dengan peserta top melaporkan sebanyak 8 masalah.

Adapun kinerja tim kami, berikut adalah kerangka kerja rata -rata untuk penanganan masalah selama periode tersebut:

Triage Time: 12 hari

Bounty Time: 17 hari

Resolve Time: 34 hari

Prestasi

Program HackerOne membantu kami menemukan beberapa kerentanan yang tidak terlihat dalam lingkup kami, dan terkadang di luarnya, dan memfasilitasi pekerjaan kami dengan mudah dibandingkan dengan penanganan laporan manual di masa lalu.

Meskipun berfokus pada Dokumen ONLYOFFICE, kami menerima temuan aneh dalam solusi di luar produk target kami, seperti aplikasi seluler, editor desktop, dan platform kolaborasi Workspace.

Misalnya, kami dapat menghilangkan celah eskalasi hak istimewa di kalender dan menyelesaikan masalah yang sebelumnya tidak diketahui di bagian Wiki.

Pekerjaan yang sangat nyata telah dilakukan dalam skenario eksploitasi WebSocket bekerja sama dengan Iain Wallace, Konsultan Keamanan Utama dengan Nettitude yang menjangkau dengan penelitian yang mengesankan tentang masalah ini.

“HackerOne adalah platform yang jauh lebih nyaman untuk bekerja dengan analisis masalah yang kompleks berkat alat pelaporan yang disediakan”. Menurut Tim Keamanan Onlyoffice, itu dapat menghemat banyak waktu jika tidak dihabiskan dengan menggunakan metode komunikasi biasa.

Tujuan masa depan

Kami memperpanjang program hadiah kami untuk tahun depan, berharap untuk meningkatkan kecepatan dan bersiap untuk peluncuran program publik. Kami akan memperluas kuota kami dan kemungkinan memperluas cakupan dengan beberapa komponen baru.

(sumber : OnlyOffice)