Bug Bounty Radar // 2023年3月最新漏洞赏金计划
John Leyden
2023年2月28日 19:15 UTC
更新:2023年2月28日 22:17 UTC
漏洞赏金动态
比利时上个月通过全国性安全港协议后,已成为道德黑客的避风港。该框架意味着,善意的安全研究人员在报告位于该欧洲国家的任何系统中的计算机安全漏洞时,只要遵守严格的条件和行为规则,就可以免于法律风险。
比利时网络安全中心宣布的指南适用于私营和公共部门组织。比利时在这方面走在了前列,但希望该计划能激励其他国家效仿,并推动公司推出自己的漏洞披露计划。
在不太友好的漏洞赏金相关新闻中,独立研究员Peter Geissler公开了一系列影响Lexmark打印机的漏洞细节,而不是接受他认为可笑的奖励。这些安全漏洞(可被串联起来进行远程代码执行攻击)此后已得到修复。
另一个研究人员对漏洞赏金条件不满的例子是,分析师公司Gartner营销小部件中的一个Web安全漏洞的披露。安全研究员Justin Steven想撰写Gartner Peer Insights小部件中基于DOM的跨站脚本漏洞的技术细节,但该分析公司警告研究员这违反了私人漏洞赏金计划的规则。Steven仍然公开披露了漏洞的技术细节,即使这意味着他无法获得该发现的报酬。
当流行黑客工具XSS Hunter的新主机披露了使用其版本的安全研究人员的遥测数据(关于发现的漏洞的匿名统计信息)时,出现了大量戏剧性事件。Truffle Security面临来自安全研究人员的隐私反弹,他们对其似乎“窥视他们的肩膀”并查看他们的发现感到不满。作为对批评的回应,Truffle Security开始为使用其版本XSS Hunter的安全研究人员提供端到端加密作为选项。
2023年3月最新漏洞赏金计划
过去一个月出现了几个新的漏洞赏金计划。以下是最新条目列表:
ATG(增强版)
- 程序提供商:YesWeHack
- 程序类型:公开
- 最高奖励:4,000美元
- 概述:ATG提高了中、高和严重漏洞的奖励,并将其范围扩大到包括.atg.se及其子域。ATG是一家专注于赛马的瑞典游戏公司。
- 查看ATG漏洞赏金页面获取更多详情
Bybit
- 程序提供商:Bugcrowd
- 程序类型:公开
- 最高奖励:20,000美元
- 概述:该加密货币交易所为最高严重级别的漏洞支付5,000至20,000美元。范围内唯一目标是bybit.com。
- 查看Bybit漏洞赏金页面获取更多详情
Grindr
- 程序提供商:Bugcrowd
- 程序类型:公开
- 最高奖励:4,000美元
- 概述:这款面向LGBTQ社区的基于位置的社交网络和约会应用将RCE、对生产数据库的任意SQL查询和重大身份验证绕过缺陷列为潜在严重漏洞。
- 查看Grindr漏洞赏金页面获取更多详情
Linktree
- 程序提供商:Bugcrowd
- 程序类型:公开
- 最高奖励:7,500美元
- 概述:澳大利亚社交媒体工具Linktree(全球拥有3000万用户)已将其“大部分”资产纳入漏洞赏金计划的范围。
- 查看Linktree漏洞赏金页面获取更多详情
Malwarebytes
- 程序提供商:HackerOne
- 程序类型:公开
- 最高奖励:2,000美元
- 概述:该反恶意软件公司为已确认的漏洞提供50至2,000美元的奖励。那些对Malwarebytes的Web属性或运行其端点保护软件的客户构成RCE风险,或导致AWS云基础设施被接管的漏洞将获得最高奖励。
- 查看Malwarebytes漏洞赏金页面获取更多详情
Miro
- 程序提供商:HackerOne
- 程序类型:公开
- 最高奖励:3,000美元
- 概述:该协作白板平台提供高达3,000美元的奖励。范围外资产包括Miro的Jira Cards、Miro for Confluence和Miro for Jira Cloud。
- 查看Miro漏洞赏金页面获取更多详情
Ninja Kiwi Games
- 程序提供商:Intigriti
- 程序类型:公开
- 最高奖励:3,750美元
- 概述:这家新西兰视频游戏开发商在2021年成功推出前一个计划后,推出了第二个漏洞赏金计划。Ninja Kiwi Games创造了Bloons、Bloons TD和SAS: Zombie Assault等系列。
- 查看Ninja Kiwi Games漏洞赏金页面获取更多详情
QNAP
- 程序提供商:独立
- 程序类型:公开
- 最高奖励:未披露
- 概述:台湾网络附加存储设备制造商QNAP已邀请黑客探测其操作系统、应用程序和云服务的漏洞。
- 查看QNAP漏洞赏金页面获取更多详情
Skinport
- 程序提供商:HackerOne
- 程序类型:公开
- 最高奖励:6,000美元
- 概述:数字游戏内物品市场Skinport推出了一个计划,为打开交易或购买操纵大门的关键漏洞提供奖励。导致未经授权访问项目服务器或泄露机密数据的漏洞也在范围内。
- 查看Skinport漏洞赏金页面获取更多详情
Spin by OXXO
- 程序提供商:YesWeHack
- 程序类型:公开
- 最高奖励:3,000美元
- 概述:范围内包括墨西哥便利店连锁Oxxo的金融科技应用和支付卡Spin的API以及iOS和Android移动应用程序。
- 查看Spin by OXXO漏洞赏金页面获取更多详情
Xdefi Technologies
- 程序提供商:HackerOne
- 程序类型:公开
- 最高奖励:5,000美元
- 概述:Xdefi,一个用于加密货币和NFT的跨链钱包扩展,已将Xdefi Extension(Chromium Web扩展)和应用程序纳入范围内资产,奖励根据CVSS(通用漏洞评分标准)的严重性而定。
- 查看Xdefi漏洞赏金页面获取更多详情
Zabbix
- 程序提供商:HackerOne
- 程序类型:公开
- 最高奖励:3,000美元
- 概述:提供开源基础设施监控技术的供应商Zabbix为高严重性漏洞提供高达1,000美元的奖励,为严重漏洞提供3,000美元的奖励。
- 查看Zabbix漏洞赏金页面获取更多信息
本月其他漏洞赏金和VDP新闻
谷歌通过升级其奖励计划并增加项目覆盖的计算语言数量,扩展了其OSS Fuzz代码测试服务。
该搜索引擎巨头还为其有史以来最大的漏洞赏金支付了 potentially life-changing 的50万英镑(60.5万美元),用于一个与Android相关的漏洞。谷歌对该漏洞的细节守口如瓶,但ITPro已经缩小了可能性列表。
英特尔报告称,去年支付了93.5万美元的漏洞赏金。该芯片巨头的英特尔产品安全报告(pdf)称,2022年它处理了243个漏洞,其中90个是由安全研究人员发现并通过其漏洞赏金计划报告的。据Security Week报道,该供应商“去年与151名研究人员合作,比前三年增加了一倍多”。
安全研究人员BitK和SakiiR在YesWeHack博客上的一篇深度文章从技术角度探讨了检测和利用JavaScript中的原型污染漏洞。该研究建立在Portswigger的Gareth Heyes早期关于检测服务器端原型污染类型安全缺陷的工作基础上。
安全研究员Mike Takahashi在Twitter上整理了一个关于AI驱动的聊天机器人(如ChatGPT)如何可能协助漏洞赏金猎人的热门话题的推文串。Takahashi在社交媒体上的“头脑风暴”是可能成为持续系列的第二部分。
附加报道:Adam Bannister
上一期:Bug Bounty Radar // 2023年2月最新漏洞赏金计划
标签:漏洞赏金、黑客技术、黑客文化、政策与立法、政府、谷歌、黑客工具、RCE、研究、Java、2FA、黑客新闻、漏洞、网络安全、数据库安全、云安全、行业新闻、开源软件、核心
作者:John Leyden
@jleyden
本页面需要JavaScript以增强用户体验。