The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Инициатива по выплате вознаграждений за поиск уязвимостей на сайтах Mozilla

11.05.2017 20:46

Компания Mozilla объявила о расширении инициативы по выплате вознаграждений за выявления уязвимостей. До сих пор вознаграждения начислялись только за информацию об уязвимостях в продуктах Mozilla, но уязвимости на сайтах и web-сервисах для разработки, таких как mozilla.org и bugzilla.org, представляют не меньшую опасность и могут быть применены для атаки на всю инфраструктуру. Отныне вознаграждение можно будет получить и за сведения о проблемах с безопасностью на сайтах Mozilla.

За информацию об уязвимости, позволяющей выполнить код на сервере будет выплачено вознаграждение в $5000 для ключевых сайтов Mozilla, $2500 для основных сайтов Mozilla и $500 для вторичных ресурсов Mozilla. За сведения об обходе механизмов аутентификации или подстановке SQL-кода размер премии составит $3000 и $1500, за CSRF, XSS или захват домена - $2500 и $1000. В качестве примеров приводится XSS-уязвимость, позволяющая выполнить коммит в Git через манипуляции с комментариями на сайте bugzilla.mozilla.org, и уязвимость в сервисе arewefastyet.community.scl3.mozilla.com, позволяющая выполнить подстановку SQL-кода.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Mozilla увеличивает размер вознаграждения за выявление уязвимостей в Firefox
  3. OpenNews: Mozilla повышает вознаграждение за нахождение ошибок безопасности в 6 раз
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46533-mozilla
Ключевые слова: mozilla, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, лол (?), 21:53, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Выплаты не за безопасность браузера, а про кейсы на основании выполнения уязвимостей на популярных сайтах?
     
     
  • 2.6, Аноним (-), 00:40, 12/05/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    https://www.opennet.ru/opennews/art.shtml?num=42429
     

  • 1.5, Аноним (-), 23:52, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Хотят сделать свой маркетинговый буллшит неуязвимым
     
  • 1.7, Аноним (-), 01:10, 12/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Чтобы  в процессе "выявления уязвимости" в тюрьму не посадили - необходимо деньги вперёд. Тогда получится "работа по договору", а не тупо взлом.
     
     
  • 2.9, Какаянахренразница (ok), 07:24, 12/05/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    Объявление о награде есть оферта договора. А взлом есть "конклюдентное действие" по принятию оферты.
     

  • 1.8, Аноним (8), 07:16, 12/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Мозилла не выплатила мне за найденный баг. было это года 3 назад. Как балбес им все рассказал. дыру закрыли а деньги не выплатили. расчитывал на 1000$. Больше сообщать им баги желания нет..  
     
     
  • 2.10, iPony (?), 08:36, 12/05/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ну это голословные утверждения.
    А так там куча нюансов https://www.mozilla.org/en-US/security/bug-bounty/faq/
    Например, за DDoS бреши не выплачивают.
     
  • 2.11, Mozilla Foundation (?), 01:08, 13/05/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Неправда. Ничего ты не находил.
     
     
  • 3.12, Аноним (-), 13:09, 13/05/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    А ты не Mozilla Foundation
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру