HackerOne предоставила хакерам «песочницы» (выделенные среды для безопасного исполнения программ) для отработки навыков. Компания смоделировала их при поддержке HackEDU после устранения популярных уязвимостей на собственной платформе. С помощью акции HackerOne также планирует привлечь внимание к бесплатным онлайн-курсам Hacker101.
Бесплатное обучение от HackerOne
HackerOne создала пять «песочниц» для обучения разработчиков. Во время их прохождения пользователь получает информацию об уязвимости, её поиске и устранении:
- Кликджекинг. Атака обнаружена в мае 2018 года и проводилась через инструмент Player Card, используемый в Twitter для вставки видео. После размещения пользователем контента атакующий может внедрить компьютерного червя.
- XXE-инъекции. Уязвимость позволяет украсть файлы с сервера. Обнаружена в марте 2018 года.
- Удалённое выполнение вредоносного кода. Оно позволяет получить доступ на сервер. Обнаружена на Imgur в апреле 2017 года.
- SQL-инъекции. С помощью внедрения SQL-кода злоумышленник может украсть информацию из баз данных. Этот пример создан на основе баз WordPress, а атака обнаружена в ноябре 2017 года.
- Межсайтовый скриптинг. Он позволяет разместить на сайте поддельную страницу для получения данных пользователя. Уязвимость обнаружена в августе 2017 года.
Компания HackerOne также сотрудничала с Intel и помогла привлечь большее количество разработчиков к поиску уязвимостей. В середине февраля 2018 года Intel расширила программу вознаграждений за обнаружение ошибок безопасности в программном обеспечении и железе. Исследователи могли получить до 250 000 $.