Zeki bilgisayar korsanı için yeni web hedefleri
Hata ödül platformu HackerOne müşterilerini bilgisayar korsanlarını potansiyel yasal sorunlardan korumaya yönelik standart bir politika benimsemeye teşvik etmek için bir program başlattı.
Altın Standart Güvenli Liman (GSSH) “kısa, geniş, [and] kolayca anlaşılır”, HackerOne’a göre.
Pek çok hata ödülü ve güvenlik açığı ifşa programı, bilgisayar korsanlarının iyi niyetle hareket etmelerine izin veren güvenli liman anlaşmaları sunar. HackerOne’ın standart politikası, kapsam içi güvenlik açıklarını aramadan önce hedeflerin hüküm ve koşullarını incelemeye gerek duymayacak olan bilgisayar korsanlarının idari yükünü azaltırken en iyi uygulamaları bir araya getirmek üzere tasarlanmıştır.
Avrupa kitle kaynaklı güvenlik platformu Birleşikbu arada, bug bounty programı sahiplerinin ödeme oranlarını uygun seviyede belirlemelerine yardımcı olmak için tasarlanmış bir araç olan Bug Bounty Calculator’ı başlattı.
Ödül önerileri oluşturmak için program sağlayıcıları sektörlerini seçer ve varlıklarını risk düzeyi, olgunluk düzeyi ve teşvik eğrisi açısından tanımlar.
Intigriti’de bilgisayar korsanları başkanı Inti de Ceukelaire, aracı neden geliştirdiğini açıkladı: “Herkes bir hata ödül programı kurabilir, ancak ne yaptığınızdan emin değilseniz, güvenlik açıkları için çok fazla ödeme yapabilirsiniz. Daha da kötüsü, ödüllerinizi çok düşük ayarlarsanız hiçbir araştırmacıyı çekemeyebilirsiniz.”
bu maksimum ödeme ödülleri artan sayıda program altında 1 milyon $ ve daha fazlasına ulaştı. Bu haftanın başlarında günlük yudum bu yüksek potansiyelli ödül programlarına daha yakından baktı ve piyasa güçlerinin, özellikle de vasıflı yetenek kıtlığının, sunulan ödüllerin değerini artırdığını keşfetti.
Özellikle Web 3.0 ve kripto platformları, göz kamaştırıcı derecede yüksek potansiyel ödüller sunmak için rekabet ediyor. Ancak uzmanlar tarafından sorgulanan günlük yudum Bu arenada gerçekten yedi rakamlı meblağlar ödeyen firmaların nadir olduğuna dikkat çekti, bu da bazılarının tanıtım yapmak amacıyla muazzam potansiyel ödüller sunduğunu gösteriyor.
Buna karşı, daha yerleşik teknoloji satıcıları tarafından yapılan altı rakamlı ödemelerin birkaç örneği vardır. Elma ve bilgi. Bununla birlikte, HackerOne, kritik güvenlik açıkları için ortalama ödemenin 3.000 ABD Doları olduğunu bildiriyor – hata ödül devresinde daha fazla zenginlik peşinde koşmak için günlük işini bırakmaya istekli olan herkes için akılda tutulması gereken bir rakam.
Ölçeğin alt ucundaki ilginç bir kusur örneği, Kasım ayının başlarında bir araştırmacının, bir kod enjeksiyon kusurunu keşfettikten sonra 250 dolarlık bir hata ödülü kazandığını açıkladığında düştü. Kısaltma‘ veri hırsızlığı için kötüye kullanılabilecek bulut yönetim konsolu.
4 Kasım’da ‘Medi’ (‘mr-medi’ takma adı altında), şimdiye kadar buldukları “favori böcek” olarak tanımladıkları istemci tarafı yol geçiş kusurunun teknik bir analizini yayınladı.
Aralık 2022 için en son hata ödül programları
Geçen ay birkaç yeni bug bounty programının gelişine tanık olduk. İşte en son girişlerin bir listesi:
Abraxas (geliştirilmiş)
Program sağlayıcısı:
Bug Bounty İsviçre
Program türü:
Halk
Maksimum ödül:
30.000 CHF (26.167 $)
Anahat:
İsviçre’de hükümet ve kamu sektörü için BT hizmetleri sağlayan Abraxas, maksimum ödemeleri 10.000 İsviçre Frangı’ndan 30.000 Frank’a üçe katladı.
notlar:
Program, saldırganların İsviçre seçimlerinin sonuçlarını manipüle etmesine olanak sağlayabilecek güvenlik açıklarına özel olarak odaklanmaktadır.
Daha fazla ayrıntı için Abraxas bug bounty sayfasına göz atın
kehribar yapay zeka
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
Bir “kripto-finans hizmet sağlayıcısı” olan AMBER AI, geçerli kritik hataların sunulması için 2.500 ila 5.000 ABD Doları arasında teklif veriyor.
notlar:
AMBER AI’nin temel iş hizmetlerindeki güvenlik açıkları, en yüksek ödeme katmanına hak kazanır, ancak web 3.0 işi, SQL enjeksiyonu, CSRF ve hizmet reddi sorunları gibi çok çeşitli web güvenlik açıklarıyla da ilgilenir.
Daha fazla ayrıntı için AMBER AI bug ödül sayfasına göz atın
Expedia Grubu
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
Expedia, otel, uçak rezervasyonu ve daha fazlasını sunan bir seyahat web siteleri portföyüne sahiptir.
notlar:
Hotels.com da dahil olmak üzere bir dizi hedef kapsam dahilindedir. orbitz.com ve expedia.com.
Daha fazla ayrıntı için Expedia Group bug ödül sayfasına göz atın
Sihirli Cennet
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
2.500 dolar
Anahat:
Magic Eden, kendisini topluluk merkezli bir NFT pazarı olarak şekillendiriyor.
notlar:
Hata ödül programı, akıllı sözleşmelere ve fonların dondurulmasına, doğrudan hırsızlığa, iş işlevinin reddine veya pazarın sorunsuz çalışmasına müdahale eden diğer saldırılara karşı korunmaya odaklanır.
Daha fazla ayrıntı için Magic Eden bug ödül sayfasına göz atın
ışınlanma
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
Teleport, sıfır güven modeline dayanan ve sunucuların ve bulut tabanlı uygulamaların yönetimi için tasarlanmış açık kaynak teknolojisi sunar.
notlar:
Teleport teknolojilerinin hem şirket içi yazılımlarındaki hem de bulut tabanlı versiyonlarındaki güvenlik açıkları program kapsamındadır.
Daha fazla ayrıntı için Teleport bug ödül sayfasına göz atın
Bin Göz
Program sağlayıcısı:
böcek kalabalığı
Program türü:
Halk
Maksimum ödül:
4.500 dolar
Anahat:
Ağ zekası yazılımı sunan ThousandEyes, seçkin bilgisayar korsanlarını güvenlik açıkları için beş hedefi araştırmaya davet etti.
notlar:
Kapsam içi hedefler, ThousandEyes’in web sitesini, uygulama platformunu, müşterinin erişebileceği API’yi ve işletme ve aracı yazılımını içerir. Firma, daha önce atıl olan böcek ödül programını Kasım ayı sonlarında yeniden açtı.
Daha fazla ayrıntı için ThousandEyes bug bounty sayfasına göz atın
SıfırBounce
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
3.000 $
Anahat:
ZeroBounce, kurumsal müşterilerin ihtiyaçlarına yönelik e-posta pazarlama hizmetleri sunar.
notlar:
Zerobounce.in etki alanındaki çok çeşitli web güvenlik açığı (XSS gibi) ve ilişkili API kitaplığındaki (api.zerobounce.in) kusurlar kapsam dahilindedir.
Daha fazla ayrıntı için ThousandEyes bug bounty sayfasına göz atın
ÖNCEKİ BASKI Bug Bounty Radarı // Kasım 2022 için en son bug ödül programları