URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 111218
[ Назад ]
Исходное сообщение
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено opennews , 11-Май-17 21:53 
Компания Mozilla  объявила (https://blog.mozilla.org/security/2017/05/11/relaunching-web.../) о расширении инициативы (https://www.mozilla.org/en-US/security/web-bug-bounty/) по выплате вознаграждений за выявления уязвимостей. До сих пор вознаграждения начислялись только  за информацию об уязвимостях в продуктах Mozilla, но уязвимости на сайтах и web-сервисах для разработки, таких как mozilla.org и bugzilla.org, представляют не меньшую опасность и могут быть применены для атаки на всю инфраструктуру. Отныне вознаграждение можно будет получить и за сведения о проблемах с безопасностью на сайтах Mozilla.


За информацию об уязвимости на сайте, позволяющей выполнить код на сервере будет выплачено вознаграждение в $5000 для ключевых сайтов, $2500 для основных сайтов и $500 для вторичных ресурсов. За сведения об обходе механизмов аутентификации или подстановке SQL-кода размер премии составит $3000 и $1500, за CSRF, XSS или захват домена - $2500 и $1000.
В качестве примеров приводится  XSS-уязвимость (https://bugzilla.mozilla.org/show_bug.cgi?id=1305713), позволяющая выполнить  коммит в Git через манипуляции с комментариями на сайте bugzilla.mozilla.org, и уязвимость (https://bugzilla.mozilla.org/show_bug.cgi?id=1294567)  в сервисе arewefastyet.community.scl3.mozilla.com, позволяющая выполнить подстановку  SQL-кода.

URL: https://blog.mozilla.org/security/2017/05/11/relaunching-web.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46533

Содержание
Сообщения в этом обсуждении
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено лол , 11-Май-17 21:53 
Выплаты не за безопасность браузера, а про кейсы на основании выполнения уязвимостей на популярных сайтах?
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено Аноним , 12-Май-17 00:40 
https://www.opennet.ru/opennews/art.shtml?num=42429
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено Аноним , 11-Май-17 23:52 
Хотят сделать свой маркетинговый буллшит неуязвимым
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено Аноним , 12-Май-17 01:10 
Чтобы  в процессе "выявления уязвимости" в тюрьму не посадили - необходимо деньги вперёд. Тогда получится "работа по договору", а не тупо взлом.
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено Какаянахренразница , 12-Май-17 07:24 
Объявление о награде есть оферта договора. А взлом есть "конклюдентное действие" по принятию оферты.
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено Аноним , 12-Май-17 07:16 
Мозилла не выплатила мне за найденный баг. было это года 3 назад. Как балбес им все рассказал. дыру закрыли а деньги не выплатили. расчитывал на 1000$. Больше сообщать им баги желания нет..  
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено iPony , 12-Май-17 08:36 
Ну это голословные утверждения.
А так там куча нюансов https://www.mozilla.org/en-US/security/bug-bounty/faq/
Например, за DDoS бреши не выплачивают.
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено Mozilla Foundation , 13-Май-17 01:08 
Неправда. Ничего ты не находил.
"Инициатива по выплате вознаграждений за поиск уязвимостей на..."
Отправлено Аноним , 13-Май-17 13:09 
А ты не Mozilla Foundation