2023年2月最新漏洞赏金计划:聚焦SSRF、CORS配置与区块链安全

本文详细介绍了2023年2月多个新推出的漏洞赏金计划,包括8x8、Hedera Hashgraph等平台的最高奖金与测试范围,同时分析了Facebook 2FA绕过、Google Cloud SSRF等实际漏洞案例,涉及区块链、云计算等多个技术领域。

Bug Bounty Radar // 2023年2月最新漏洞赏金计划

Adam Bannister
2023年1月31日 15:13 UTC
更新:2023年2月28日 18:00 UTC

新目标:精明的黑客们注意了

Facebook基于短信的双因素认证(2FA)绕过漏洞入选了Meta 2022年最令人印象深刻的漏洞赏金发现。然而,Facebook的母公司最初似乎并未完全认识到该漏洞的严重性,先是提供了3,000美元的赏金,最终将奖励上调至27,200美元。

安全研究员Manoj Gautam告诉The Daily Swig:“由于在验证任何联系点(电子邮件或电话)时完全没有速率限制保护,攻击者只需知道电话号码,就可以在其关联Instagram的Facebook账户中添加受害者的已启用2FA的电话号码。”

在本月的其他漏洞赏金新闻中,一对黑客二人组记录了他们在Google云平台(GCP)的研究,获得了六笔总计超过22,000美元的奖金。Sreeram KL和Sivanesh Ashok最赚钱的发现导致获得了双份5,000美元的奖励,原因是他们在机器学习平台Vertex AI中发现了一个服务器端请求伪造(SSRF)漏洞及随后的补丁绕过。

他们的漏洞赏金利用还在四篇博客文章中详细说明,包括Google Cloud Compute Engine中的SSH密钥注入问题,以及Theia和Cloud Workstations中的缺陷。

跨源资源共享(CORS)配置错误是本月经The Daily Swig报道的第三篇漏洞赏金文章的重点。为多个私人项目(尤其包括特斯拉)设计的利用为Truffle Security的研究人员赚取了“几千美元”,并证实了他们的假设:“大型企业内部网络极有可能存在有影响的CORS配置错误”。

与此同时,新的黑客机会即将出现,包括美国国防部(DoD)的第三届年度Hack The Pentagon挑战和Zero Day Initiative(ZDI)的首届Pwn2Own Automotive,计划于2024年1月举行。

2023年2月最新漏洞赏金计划

过去一个月出现了几个新的漏洞赏金计划。以下是最新条目的列表:

8x8

  • 计划提供方:HackerOne
  • 计划类型:公开
  • 最高奖励:1,337美元
  • 概述:这家美国商业通信技术提供商邀请黑客探测其网站、移动应用及服务,如开源视频会议软件Jitsi。
  • 备注:尽管提供的最高赏金相对适中,8x8在启动后的一个月内已经支付了超过90,000美元的赏金。
  • 查看8x8漏洞赏金页面获取更多详情

Hedera Hashgraph

  • 计划提供方:HackerOne
  • 计划类型:公开
  • 最高奖励:30,000美元
  • 概述:Hedera Hashgraph自称为“一个负责任治理的去中心化网络”,Hedera治理委员会包括“企业、web3项目和著名大学”。
  • 备注:范围内有七项资产,包括服务和镜像节点代码库、Java和JavaScript SDK、测试网API端点和测试网镜像节点API。
  • 查看Hedera Hashgraph漏洞赏金页面获取更多详情

Hyperlane

  • 计划提供方:Immunefi
  • 计划类型:公开
  • 最高奖励:250万美元
  • 概述:Hyperlane自称为模块化互操作性平台,使开发者能够构建跨链应用,这些应用可以轻松安全地在区块链之间通信。
  • 备注:改变人生的最高奖励针对智能合约中的严重错误,而应用漏洞的奖金最高可达20,000美元。
  • 查看Hyperlane漏洞赏金页面获取更多详情

Kiwi.com

  • 计划提供方:HackerOne
  • 计划类型:公开
  • 最高奖励:5,000美元
  • 概述:捷克在线旅行社Kiwi.com提供机票和地面交通的票价聚合器、元搜索引擎和预订功能。
  • 备注:范围内的目标包括主网站kiwi.com、tequila.kiwi.com、jobs.kiwi.com、源代码、API和内部工具以及移动应用。
  • 查看Kiwi.com漏洞赏金页面获取更多详情

Net+

  • 计划提供方:GObugfree
  • 计划类型:公开和私人混合
  • 最高奖励:5,000瑞士法郎(5,389美元)
  • 概述:Netplus.ch为瑞士超过220,000用户提供互联网、电话和电视服务,为严重错误支付2,000-5,000瑞士法郎。
  • 备注:新目标最初限制在私人计划中进行初步测试,随后在公开计划中向更广泛的黑客社区开放。
  • 查看Net+私人和公开漏洞赏金页面获取更多详情

Open-Xchange (OX) App Suite

  • 计划提供方:YesWeHack
  • 计划类型:公开
  • 最高奖励:5,000欧元(5,430美元)
  • 概述:Open-Xchange的OX App Suite是一个开源电子邮件和生产力套件,声称默认注重安全而非通过隐匿实现安全。
  • 备注:Open-Xchange此前是HackerOne的客户,已将其漏洞赏金计划迁移到YesWeHack。CISO Martin Heiland最近与这家位于巴黎的平台讨论了提供的黑客机会。
  • 查看OX App Suite漏洞赏金页面获取更多详情

Open-Xchange Dovecot

  • 计划提供方:YesWeHack
  • 计划类型:公开
  • 最高奖励:5,000欧元(5,430美元)
  • 概述:Dovecot是Open-Xchange的IMAP、POP3和提交服务器,用于电子邮件,在多个操作系统中使用,并被“数百万运营商”使用。
  • 备注:Open-Xchange此前是HackerOne的客户,已将其漏洞赏金计划迁移到YesWeHack。CISO Martin Heiland最近与这家位于巴黎的平台讨论了提供的黑客机会。
  • 查看Dovecot漏洞赏金页面获取更多详情

Open-Xchange PowerDNS

  • 计划提供方:YesWeHack
  • 计划类型:公开
  • 最高奖励:5,000欧元(5,430美元)
  • 概述:PowerDNS是一个DNS服务器,支持域名解析和网络安全功能。
  • 备注:Open-Xchange此前是HackerOne的客户,已将其漏洞赏金计划迁移到YesWeHack。CISO Martin Heiland最近与这家位于巴黎的平台讨论了提供的黑客机会。
  • 查看PowerDNS漏洞赏金页面获取更多详情

S-Pankki

  • 计划提供方:HackerOne
  • 计划类型:公开
  • 最高奖励:4,000美元
  • 概述:这家芬兰银行为严重漏洞提供高达4,000美元,高危漏洞2,000美元,中危漏洞1,000美元。
  • 备注:范围内有11项资产,包括九个域以及iOS和Android移动应用。
  • 查看S-Pankki漏洞赏金页面获取更多详情

Superbet

  • 计划提供方:HackerOne
  • 计划类型:公开
  • 最高奖励:2,000美元
  • 概述:这家罗马尼亚在线游戏公司为严重错误提供最高2,000美元,高危问题1,000美元,中危漏洞250美元。
  • 备注:范围内仅有一项资产:the.superbet.ro域。
  • 查看Superbet漏洞赏金页面获取更多详情

Swiss Bankers

  • 计划提供方:GObugfree
  • 计划类型:私人
  • 最高奖励:未公开
  • 概述:Swiss Bankers是一家专注于预付信用卡、移动支付和汇款
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次