视频: ä¸è¦å²ç¬æåçæ§ (十二月 2024)
假设您是一家遍布全球的软件发行商。 您产品中的一个安全漏洞可能使坏人窃取私人信息或远程控制受害PC,这可能会产生深远的影响。 如果有人发现了这样的漏洞,您更希望他们告诉您,而不是在网络犯罪黑市上出售信息,对吗? “漏洞赏金”计划旨在通过奖励那些发现现金或名誉或两者兼有的安全漏洞的人来鼓励这种共享,它们比您可能意识到的更为普遍。
赏金比比皆是
雅虎的漏洞赏金计划本周早些时候成为新闻。 一组瑞士研究人员对该程序进行了调查,首先从Yahoo网站上发现了三个严重的跨站点脚本错误,这些安全漏洞可能使攻击者获得受害者的Yahoo电子邮件帐户。 (发现这些错误大约花了一天的时间-吓人!)。 验证报告后,雅虎为每个错误提供了12.50美元,可在公司商店中兑换赃物。
对于许多人来说,这种报酬似乎是疯狂的。 该报告的强烈反对足以使雅虎宣布一项更改,而他们已经在对此进行研究。 新的漏洞赏金计划将奖励研究人员,他们报告的已验证错误将以现金(而不是赃物)从150美元到15, 000美元不等,其确切金额由明确的预定义公式确定。 新程序应该在本月底之前就位,但是可以追溯到7月1日。
认为您发现了一个值得一试的安全漏洞? Bugcrowd网站列出了当前所有的bug赏金计划,将其分为提供奖励,成名加赃物,仅成名或无奖励的赏金计划。 单击给定产品或服务的链接以访问其报告页面。
例如,Facebook提供的最低赏金为500美元,没有预设的最高赏金。 截至八月,Facebook已经支付了超过一百万美元的此类赏金。
Google针对已验证错误的付款遵循定义明确的值表。 这些费用从针对低优先级Google网站上常见的Web漏洞的100美元到针对高度敏感服务中的远程代码执行漏洞的20, 000美元不等。 为了点头讲话,某些类型的汽车附带了$ 1337的奖励。
微软与众不同
微软为研究人员提供了10万美元甚至更多的资金,用于增强安全性的工作,但是事实证明,微软计划并非完全是赏金的漏洞。 Microsoft Trustworthy Computing的高级安全策略主管Katie Moussouris解释了这种差异。
穆苏里斯说:“微软价值10万美元的缓解绕过赏金要求参与者针对我们最新的Windows平台提交真正新颖的利用技术,以便我们可以改善我们的平台范围的防御。比个人漏洞和学习方法更难找到新的利用技术。它们将帮助我们保护客户免受所有类型的攻击,从而大幅提高安全性,而不是一次解决一个漏洞。” 她总结说:“我们鼓励研究人员在www.microsoft.com/bountyprograms上阅读我们的赏金计划指南,并将其提交的内容发送到[email protected]。”
研究人员不仅报告新的开发技术,而且提供防御思路,可能还有资格获得50, 000美元的BlueHat奖金。 请记住,2012年,Microsoft向其BlueHat Prize竞赛的获奖者支付了超过25万美元。
要获得微软的奖励,需要大量的经验和天才。 安全性通常是一种猫捉老鼠的游戏,犯罪分子会设计新的攻击,而防御者则用新的应对措施来应对这些攻击。 在坏家伙行事之前,先提出新的剥削技术(以及针对它们的防御措施)。 作为Windows用户,我向收件人致敬。 多谢你们!
