Zeki bilgisayar korsanı için yeni web hedefleri
Belçika geçen ay ülke çapında bir güvenli liman anlaşmasının kabul edilmesinin ardından etik korsanlar için bir sığınak haline geldi.
Çerçeve, iyi niyetli güvenlik araştırmacılarının, Avrupa ülkesinde bulunan herhangi bir sistemdeki bilgisayar güvenlik açıklarını bildirmeye geldiklerinde – katı bir dizi koşul ve davranış kuralına uymaları koşuluyla – yasal tehlikeden muaf oldukları anlamına gelir.
Belçika Siber Güvenlik Merkezi tarafından açıklanan yönergeler, hem özel sektör hem de kamu sektörü kuruluşları için geçerlidir. Belçika eğride daha ileride, ancak planın diğer ülkeleri de aynı şeyi yapmaya ve şirketlere kendi güvenlik açığı ifşa programlarını başlatmaya teşvik etmesi umulmaktadır.
Bağımsız araştırmacı Peter Geissler, böcek ödülüyle ilgili daha az cana yakın haberlerde, etkileyen bir dizi güvenlik açığının ayrıntılarını kamuoyuna açıkladı. Lexmark alaycı bir ödül olarak gördüğü şeyi kabul etmek yerine matbaacılar. Uzaktan kod yürütme saldırısı oluşturmak için birbirine zincirlenebilen güvenlik hataları o zamandan beri düzeltildi.
Araştırmacıların bug bounty koşullarında tereddüt etmelerine bir başka örnek de analistlerin bir pazarlama gerecindeki bir web güvenlik kusurunun ifşa edilmesiydi. Gartner.
Güvenlik araştırmacısı Justin Steven, Gartner Peer Insights parçacığına DOM tabanlı siteler arası komut dosyası çalıştırma güvenlik açığının teknik ayrıntılarını yazmak istedi, ancak analist firması, bunun özel hata ödül programının kurallarını ihlal ettiği konusunda araştırmacıyı uyardı.
Steven, güvenlik açığının teknik ayrıntılarını yine de kamuya açıkladı, ancak bu bulgu için ödeme yapmadığı anlamına geliyordu.
Popüler bir bilgisayar korsanlığı aracının yeni bir sunucusu ortaya çıktığında bol bol dram yaşandı. XSS Avcısı yardımcı programın sürümünü kullanarak güvenlik araştırmacılarından telemetriyi (ortaya çıkarılan güvenlik açıkları hakkında anonimleştirilmiş istatistikler) ifşa etti. Truffle Security, güvenlik araştırmacılarının görünüşte “omuzlarının üzerinden baktığı” ve bulgularını gözden geçirdiği için mahremiyet tepkisiyle karşı karşıya kaldı.
Eleştirilere yanıt olarak Truffle Security, kendi XSS Hunter sürümünü kullanarak güvenlik araştırmacılarına bir seçenek olarak uçtan uca şifreleme sunmaya başladı.
Mart 2023 için en son hata ödül programları
Geçen ay birkaç yeni bug bounty programının gelişine tanık olduk. İşte en son girişlerin bir listesi:
ATG (Geliştirilmiş)
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
4.000 $
Anahat:
ATG, orta, yüksek ve kritik hatalar için ödülleri artırdı ve kapsamını .atg.se ve alt alanlarını kapsayacak şekilde genişletti. ATG, at yarışlarında uzmanlaşmış İsveçli bir oyun şirketidir.
Daha fazla ayrıntı için ATG bug ödül sayfasına göz atın
Bybit
Program sağlayıcısı:
böcek kalabalığı
Program türü:
Halk
Maksimum ödül:
20.000 $
Anahat:
Kripto para borsası, en yüksek kritiklik seviyesi için 5.000 ila 20.000 dolar arasında ödeme yapıyor. Kapsamdaki tek hedef bybit.com’dur.
Daha fazla ayrıntı için Bybit bug ödül sayfasına göz atın
Öğütücü
Program sağlayıcısı:
böcek kalabalığı
Program türü:
Halk
Maksimum ödül:
4.000 $
Anahat:
LGBTQ topluluğu için konum tabanlı sosyal ağ ve flört uygulaması, potansiyel olarak kritik hatalar olarak RCE’den, üretim veritabanlarında rastgele SQL sorgularından ve önemli kimlik doğrulama baypas kusurlarından bahsediyor.
Daha fazla ayrıntı için Grindr bug ödül sayfasına göz atın
Bağlantı ağacı
Program sağlayıcısı:
böcek kalabalığı
Program türü:
Halk
Maksimum ödül:
7.500 dolar
Anahat:
Dünya çapında 30 milyon kullanıcıya sahip Avustralyalı sosyal medya aracı Linktree, varlıklarının “çoğu”nu bug bounty programı kapsamına aldı.
Daha fazla ayrıntı için Linktree bug ödül sayfasına göz atın
Malwarebytes
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
2.000 $
Anahat:
Kötü amaçlı yazılımdan koruma firması, onaylanan güvenlik açıkları için 50 ila 2.000 ABD Doları arasında ödeme teklif ediyor. Malwarebytes’in web mülkleri veya uç nokta koruma yazılımını çalıştıran müşterileri için bir RCE riski oluşturanlar veya AWS bulut altyapısının devralınmasına öncülük edenler en büyük ödülleri alacaklar.
Daha fazla ayrıntı için Malwarebytes bug ödül sayfasına göz atın
Miro
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
3.000 $
Anahat:
İşbirlikçi beyaz tahta platformu, 3.000 $’a kadar ödüller sunuyor. Kapsam dışı varlıklar arasında Miro’nun Jira Kartları, Confluence için Miro ve Jira Cloud için Miro yer alır.
Daha fazla ayrıntı için Miro bug bounty sayfasına göz atın
ninja kivi oyunları
Program sağlayıcısı:
Birleşik
Program türü:
Halk
Maksimum ödül:
3.750 dolar
Anahat:
Yeni Zelanda merkezli video oyunu geliştiricisi, başarılı bir 2021 öncüsünün ardından ikinci bir hata ödül programı başlattı. Ninja Kiwi Games, Bloons, Bloons TD ve SAS: Zombie Assault serilerini yarattı.
Daha fazla ayrıntı için Ninja Kiwi Games bug ödül sayfasına göz atın
QNAP
Program sağlayıcısı:
Bağımsız
Program türü:
Halk
Maksimum ödül:
açıklanmadı
Anahat:
Tayvanlı ağa bağlı depolama cihazları üreticisi QNAP, bilgisayar korsanlarını işletim sistemlerini, uygulamalarını ve bulut hizmetlerini güvenlik açıkları için araştırmaya davet etti.
Daha fazla ayrıntı için QNAP bug ödül sayfasına göz atın
Dış görünüm
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
6.000 dolar
Anahat:
Dijital oyun içi öğeler için bir pazar yeri olan Skinport, ticaret veya satın alma manipülasyonlarına kapı açan kritik kusurlar için ödüller içeren bir program başlattı. Proje sunucularına yetkisiz erişim veya gizli verilerin ifşası ile sonuçlanan güvenlik açıkları da kapsam dahilindedir.
Daha fazla ayrıntı için Skinport bug bounty sayfasına göz atın
OXXO tarafından döndür
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
3.000 $
Anahat:
Bir fintech uygulaması ve Meksika market zinciri Oxxo’dan bir ödeme kartı olan Spin’in bir API artı iOS ve Android mobil uygulamaları kapsam dahilindedir.
Daha fazla ayrıntı için Spin by OXXO bug ödül sayfasına göz atın
Xdefi Teknolojileri
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
Kripto para birimleri ve NFT’ler için zincirler arası bir cüzdan uzantısı olan Xdefi, CVSS’ye (Ortak Güvenlik Açığı Puanlama Standardı) göre önem derecesine dayalı ödüllerle Xdefi Uzantısı (Chromium web uzantısı) ve uygulamasını kapsam içi varlıklara dahil etti.
Daha fazla ayrıntı için Xdefi bug ödül sayfasına göz atın
zabbix
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
3.000 $
Anahat:
Açık kaynaklı altyapı izleme teknolojileri sağlayan bir satıcı olan Zabbix, yüksek önem dereceli hatalar için 1.000 ABD Dolarına kadar ve kritik kusurlar için 3.000 ABD Dolarına kadar teklif veriyor.
Daha fazla bilgi için Zabbix bug bounty sayfasına göz atın
Bu ayki diğer hata ödülleri ve VDP haberleri
- Google ödül programını yükselterek ve projenin kapsadığı bilgi işlem dillerinin sayısını artırarak OSS Fuzz kod testi hizmetini genişletti.
Arama motoru devi, Android ile ilgili bir güvenlik açığı için potansiyel olarak hayat değiştiren 500.000 £ (605.000 $) değerinde, şimdiye kadarki en büyük hata ödülünü de ödedi. Google, kusurun ayrıntıları hakkında ağzı sıkı kalıyor, ancak ITPro olasılıklar listesini daralttı.
- bilgi geçen yıl böcek ödüllerinde 935.000 $ ödediğini bildirdi. Çip devinin Intel Ürün Güvenliği Raporu (pdf), 2022’de 90’ı güvenlik araştırmacıları tarafından keşfedilen ve hata ödül programları aracılığıyla bildirilen 243 güvenlik açığını tetiklediğini söyledi. Security Week’in bildirdiğine göre satıcı “geçen yıl 151 araştırmacıyla çalıştı, bu rakam önceki üç yıla kıyasla iki kattan fazla”.
- Güvenlik araştırmacıları tarafından YesWeHack blogunda ayrıntılı bir makale BitK Ve SakiiR tespit etme ve istismar etme konusunda teknik bir bakış açısı sunar. prototip kirlilik güvenlik açıkları JavaScript’te. Araştırma, Portswigger’den Gareth Heyes’in sunucu tarafı prototip kirlilik tipi güvenlik kusurlarını tespit etme konusundaki önceki çalışmasına dayanıyor.
- Güvenlik araştırmacısı Mike Takahashi, aşağıdakiler gibi yapay zeka destekli sohbet robotlarının nasıl olduğu gibi çok sıcak bir konu hakkında bir Twitter dizisi oluşturdu. ChatGPT böcek ödül avcılarına yardımcı olabilir. Takahashi’nin sosyal medya “beyin fırtınası”, devam eden bir dizinin ikinci kısmı.
Adam Bannister tarafından ek raporlama
ÖNCEKİ BASKI Bug Bounty Radarı // Şubat 2023 için en son bug ödül programları