Contentful hacken

Es ist eine Tatsache, dass jede größere Codebasis Fehler enthält. Im Laufe der Jahre gab es viele Schätzungen über die Beziehung zwischen Codezeilen und der Anzahl der darin enthaltenen Fehler. Eine häufig zitierte Schätzung stammt von Steve McConnell und aus seinem Buch „Code Complete“, in dem er schreibt, dass der Branchendurchschnitt „etwa 15–50 Fehler pro 1000 Zeilen geliefertem Code“ beträgt.

Unabhängig vom Verhältnis zwischen Codezeilen und Fehlern werden einige dieser Inkonsistenzen leider das Sicherheitsniveau des Systems, auf dem der Code ausgeführt wird, verringern.

Da Sicherheit für Contentful ein ernstes Thema ist, verwenden wir ein Bug-Bounty-Programm, um unseren Kund*innen sichere und qualitativ hochwertige Dienstleistungen zu bieten.

Ein Bug-Bounty-Programm ist eine Möglichkeit für Unternehmen, Hacker und Sicherheitsforscher finanziell für die verantwortungsvolle Meldung von Schwachstellen zu belohnen. Der Bericht enthält in der Regel eine technische Beschreibung, wie die Sicherheitslücke entdeckt wurde, sodass Empfänger*innen die Richtigkeit des Berichts überprüfen können. Die meldende Person verpflichtet sich auch, die entdeckte Sicherheitslücke vor der Öffentlichkeit geheim zu halten, bis der Anbieter Zeit hatte, sie zu beheben. In den meisten Bug-Bounty-Programmen besteht ein enger Zusammenhang zwischen der Schwere der entdeckten Sicherheitslücke und dem Betrag, der an die Person gezahlt wird, die sie gemeldet hat.

Herkömmliche Penetrationstests sind eine bewährte Methode, um Schwachstellen zu finden und zu melden. Ein potenzieller Nachteil kann jedoch sein, dass regelmäßige Penetrationstests häufig in einem begrenzten Zeitraum durchgeführt werden, wobei eine kleine Anzahl von Penetrationstestern in einem eng definierten Umfang arbeitet. Mit einem laufenden Bug-Bounty-Programm erhalten Sie stattdessen einen kontinuierlichen Penetrationstest, der die Aufmerksamkeit einer größeren Anzahl hochtalentierter Personen auf sich ziehen kann. Und die Zusammenarbeit mit einer so vielfältigen Gruppe von Personen bedeutet auch, dass Sie Zugang zu einer Vielzahl kreativer Köpfe erhalten.

Contentful arbeitet seit über einem Jahr mit Bugcrowd zusammen. Neben dem Zugang zu einer großen Anzahl von sicherheitsbewussten Tester*innen war der Hauptgrund für die Verwendung von Bugcrowd die bessere Koordination der eingehenden Sicherheitsberichte. Und ihre Triage- und Validierungsdienste funktionieren unglaublich gut. In der Vergangenheit wurden potenzielle Schwachstellen an Contentful gemeldet, indem eine Nachricht an unser Support-Team gesendet wurde. Da wir nun ein laufendes, verwaltetes Bug-Bounty-Programm nutzen, muss sich unser Support-Team nicht mehr mit dem Entschlüsseln von Schwachstellenbeschreibungen oder dem Interpretieren von Proof-of-Concept-Beispielen herumschlagen. Stattdessen landen die Berichte direkt dort, wo sie hingehören – in den Händen unserer Sicherheitsexperten.

Nachdem wir einen Bericht über ein potenzielles Sicherheitsproblem erhalten haben, versuchen wir, dessen Richtigkeit und die möglichen Auswirkungen schnell zu überprüfen. Wir tun dies, indem wir überprüfen, ob die vorgeschlagene Sicherheitslücke zuvor gemeldet wurde und ob wir den potenziellen Sicherheitsfehler wie vom Meldenden beschrieben reproduzieren können. In dieser Phase dient die Verwendung eines Bug-Bounty-Programms zwei Zwecken:

1. Der/Die Meldende erhält eine Bestätigung, ob es sich bei dem Fund tatsächlich um ein Sicherheitsproblem handelt.

2. Der/Die Meldende weiß jetzt, dass wir daran arbeiten, das Problem zu beheben, und dass er/sie eine finanzielle Entschädigung für die Meldung des Problems erhält, wenn die Meldung begründet ist.

Bis heute haben wir 120 Berichte über potenzielle Sicherheitsbedenken von insgesamt 50 Bugcrowd-Mitgliedern erhalten. Die Berichte haben eine Reihe von Problemen wie XSS-Schwachstellen, Fehlkonfigurationen und Authentifizierungsfehler aufgedeckt. Während nicht alle 120 Berichte als Sicherheitsprobleme verifiziert werden konnten, führten einige von ihnen zu einer Art von Minderungsmaßnahmen auf unserer Seite.

Eine faire Entschädigung der Sicherheits-Community für das Finden von Fehlern in unseren Produkten ist für uns von entscheidender Bedeutung. Wir sind der Meinung, dass die Verwendung der besten Bug-Bounty-Plattform für den gesamten Prozess, vom ersten Bericht bis zur Auszahlung des „Bounty“, unsere Produkte und Dienstleistungen sicherer als je zuvor gemacht hat. Wir arbeiten auch daran, den aktuellen Bug-Bounty-Bereich um Funktionen und Dienstleistungen zu erweitern, die sich in der nicht öffentlichen Beta-Phase befinden. Wir wollen die Erweiterung in enger Zusammenarbeit mit Sicherheitsforschern vorantreiben, die zuvor Sicherheitslücken in unseren Produkten gefunden haben. Während wir weiterhin traditionelle Penetrationstests unserer Dienste durchführen, sind wir der Meinung, dass ein laufendes Bug-Bounty-Programm insgesamt ein sichereres Produkt schafft. Das sind gute Nachrichten für unsere Kund*innen und uns.

Wenn Sie eine Schwachstelle, einen Bug oder etwas Ungewöhnliches entdeckt haben, können Sie uns am besten über das Einreichungsformular kontaktieren.