2023年2月最新漏洞赏金计划盘点:SSRF、CORS配置错误与高额奖励

本文详细介绍了2023年2月最新的漏洞赏金计划,包括Facebook的2FA绕过漏洞、Google Cloud的SSRF漏洞以及多个企业的赏金项目,涵盖最高250万美元的奖励和各类安全研究技术细节。

Bug Bounty雷达:2023年2月最新漏洞赏金计划

Adam Bannister
2023年1月31日 15:13 UTC
更新:2023年2月28日 18:00 UTC

新目标: discerning黑客的乐园

Facebook基于短信的双因素认证(2FA)绕过漏洞入选了Meta 2022年最令人印象深刻的漏洞赏金发现。然而,Facebook的母公司最初似乎并未完全认识到该漏洞的严重性,提供了3000美元的赏金,最终将奖励修订为27,200美元。

安全研究员Manoj Gautam告诉The Daily Swig:“由于在验证任何联系点(电子邮件或电话)时完全没有速率限制保护,攻击者只需知道电话号码,就可以在他或她的Instagram链接的Facebook账户中添加受害者的启用2FA的电话号码。”

在本月的其他漏洞赏金新闻中,一对黑客二人组记录了Google Cloud Platform(GCP)的研究,导致六次支付总额超过22,000美元。对Sreeram KL和Sivanesh Ashok来说,最赚钱的发现是在机器学习平台Vertex AI中发现了一个服务器端请求伪造(SSRF)漏洞和随后的补丁绕过,获得了双倍的5,000美元奖励。

他们的漏洞赏金利用还包括Google Cloud的Compute Engine中的SSH密钥注入问题,以及Theia和Cloud Workstations中的缺陷。

跨源资源共享(CORS)配置错误是The Daily Swig本月涵盖的第三篇漏洞赏金报告的重点。为多个私人项目(尤其包括Tesla)设计的利用为Truffle Security研究人员赚取了“几千美元”,并证实了他们的假设:“大型企业内部网络极有可能存在有影响的CORS[跨源资源共享]配置错误”。

与此同时,新的黑客机会包括美国国防部(DoD)的第三届年度Hack The Pentagon挑战和Zero Day Initiative(ZDI)的首届Pwn2Own Automotive,计划于2024年1月举行。

2023年2月最新漏洞赏金计划

过去一个月出现了几个新的漏洞赏金计划。以下是最新条目列表:

8x8

  • 程序提供者:HackerOne
  • 程序类型:公开
  • 最高奖励:1,337美元
  • 概述:这家美国商业通信技术提供商邀请黑客探测其网站、移动应用和服务,如其开源视频会议软件Jitsi。
  • 备注:尽管提供的最高赏金相对适中,8x8在启动后的一个月内已经支付了超过90,000美元的赏金。
  • 查看8x8漏洞赏金页面获取更多详情

Hedera Hashgraph

  • 程序提供者:HackerOne
  • 程序类型:公开
  • 最高奖励:30,000美元
  • 概述:Hedera Hashgraph自称为“一个负责任治理的去中心化网络”,Hedera治理委员会包括“企业、web3项目和著名大学”。
  • 备注:范围包括七个资产,包括服务和镜像节点代码库、Java和JavaScript SDK、测试网API端点和测试网镜像节点API。
  • 查看Hedera Hashgraph漏洞赏金页面获取更多详情

Hyperlane

  • 程序提供者:Immunefi
  • 程序类型:公开
  • 最高奖励:250万美元
  • 概述:Hyperlane自称为模块化互操作性平台,使开发者能够构建跨链应用,这些应用可以轻松安全地在区块链之间通信。
  • 备注:改变生活的最高奖励是针对智能合约中的关键漏洞,而应用缺陷可以获得高达20,000美元的支付。
  • 查看Hyperlane漏洞赏金页面获取更多详情

Kiwi.com

  • 程序提供者:HackerOne
  • 程序类型:公开
  • 最高奖励:5,000美元
  • 概述:捷克在线旅行社Kiwi.com提供机票和地面交通的票价聚合器、元搜索引擎和预订功能。
  • 备注:范围内的目标包括主网站kiwi.com;tequila.kiwi.com;jobs.kiwi.com;源代码;API和内部工具;以及移动应用。
  • 查看Kiwi.com漏洞赏金页面获取更多详情

Net+

  • 程序提供者:GObugfree
  • 程序类型:混合公开和私人
  • 最高奖励:5,000瑞士法郎(5,389美元)
  • 概述:Netplus.ch为瑞士超过220,000用户提供互联网、电话和电视服务,为关键漏洞支付2,000-5,000瑞士法郎。
  • 备注:新目标最初限制在私人程序中用于初始测试期,然后在公开程序中向更广泛的黑客社区开放。
  • 查看Net+私人和公开漏洞赏金页面获取更多详情

Open-Xchange (OX) App Suite

  • 程序提供者:YesWeHack
  • 程序类型:公开
  • 最高奖励:5,000欧元(5,430美元)
  • 概述:Open-Xchange的OX App Suite是一个开源电子邮件和生产力套件,声称默认偏好安全而不是通过 obscurity 安全。
  • 备注:Open-Xchange,此前是HackerOne客户,已将其漏洞赏金计划迁移到YesWeHack。CISO Martin Heiland最近与巴黎平台讨论了提供的黑客机会。
  • 查看OX App Suite漏洞赏金页面获取更多详情

Open-Xchange Dovecot

  • 程序提供者:YesWeHack
  • 程序类型:公开
  • 最高奖励:5,000欧元(5,430美元)
  • 概述:Dovecot是Open-Xchange的IMAP、POP3和提交服务器用于电子邮件,在多个操作系统中使用,并被“数百万运营商”使用。
  • 备注:Open-Xchange,此前是HackerOne客户,已将其漏洞赏金计划迁移到YesWeHack。CISO Martin Heiland最近与巴黎平台讨论了提供的黑客机会。
  • 查看Dovecot漏洞赏金页面获取更多详情

Open-Xchange PowerDNS

  • 程序提供者:YesWeHack
  • 程序类型:公开
  • 最高奖励:5,000欧元(5,430美元)
  • 概述:PowerDNS是一个DNS服务器,支持域名解析和网络安全功能。
  • 备注:Open-Xchange,此前是HackerOne客户,已将其漏洞赏金计划迁移到YesWeHack。CISO Martin Heiland最近与巴黎平台讨论了提供的黑客机会。
  • 查看PowerDNS漏洞赏金页面获取更多详情

S-Pankki

  • 程序提供者:HackerOne
  • 程序类型:公开
  • 最高奖励:4,000美元
  • 概述:这家芬兰银行为关键漏洞提供高达4,000美元,为高严重性缺陷提供2,000美元,为中严重性漏洞提供1,000美元。
  • 备注:范围包括11个资产,包括九个域以及iOS和Android移动应用。
  • 查看S-Pankki漏洞赏金页面获取更多详情

Superbet

  • 程序提供者:HackerOne
  • 程序类型:公开
  • 最高奖励:2,000美元
  • 概述:这家罗马尼亚在线游戏公司为关键漏洞提供最高2,000美元,为高严重性问题提供1,000美元,为中影响漏洞提供250美元。
  • 备注:仅一个资产在范围内:the.superbet.ro域。
  • 查看Superbet漏洞赏金页面获取更多详情

Swiss Bankers

  • 程序提供者:GObugfree
  • 程序类型:私人
  • 最高奖励:未公开
  • 概述:Swiss Bankers是一家金融服务公司,专注于预付信用卡、移动支付和汇款。
  • 备注:黑客只能通过邀请参与。
  • 查看Swiss Bankers漏洞赏金页面获取更多详情

Threema (Enhanced)

  • 程序提供者:GObugfree
  • 程序类型:公开
  • 最高奖励:10,000瑞士法郎(10,778美元)
  • 概述:瑞士即时通讯服务Threema在2022年5月启动该计划后,将最高支付从4,000瑞士法郎(4,311美元)提高到10,000瑞士法郎(10,778美元)。
  • 备注:这一消息是在以隐私为重点的软件 disputed claims 之后,称其加密消息平台存在多个安全漏洞。
  • 查看Threema漏洞赏金页面获取更多详情

TRON DAO

  • 程序提供者:HackerOne
  • 程序类型:公开
  • 最高奖励:5,000美元
  • 概述:TRON DAO是一个开源平台,用于创建去中心化应用、新金融基元和可互操作区块链。
  • 备注:TRON的Java源代码是目前范围内唯一的资产。
  • 查看TRON DAO漏洞赏金页面获取更多详情

Wato-soft

  • 程序提供者:GObugfree
  • 程序类型:私人
  • 最高奖励:未公开
  • 概述:瑞士IT服务公司,专注于企业资源规划(ERP)软件。
  • 备注:黑客只能通过邀请参与。
  • 查看Wato-Soft漏洞赏金页面获取更多详情

本月其他漏洞赏金和VDP新闻

Amazon与HackerOne的虚拟黑客活动是该平台有史以来支付最高的虚拟活动,超过50名安全研究人员共同赚取了832,135美元。10天黑客松的总冠军是@jonathanbouman,而“最佳团队合作”奖授予了‘spacebaffoons’ @the_arch_angel, @spaceraccoon, 和(一次Daily Swig采访对象)@ajxchapman。

正如我们最新的Deserialized综述中提到的,Intigriti已经标记了比利时拟议举报人法律中的全国性安全港条款,以及New Scientist关于一种数学方法的专题,该方法可以在不 risk public disclosure 的情况下证明有效利用。

最后,YesWeHack撰写了一篇关于使用Burp Suite扩展Highlighter And Extractor(HaE)通过正则表达式 surface vulnerabilities 的 how-to 指南。

上一版 Bug Bounty雷达 // 2023年1月最新漏洞赏金计划

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次