Инициатива по выплате вознаграждений за поиск уязвимостей на сайтах Mozilla

Компания Mozilla объявила о расширении инициативы по выплате вознаграждений за выявления уязвимостей.

До сих пор вознаграждения начислялись только за информацию об уязвимостях в продуктах Mozilla, но уязвимости на сайтах и web-сервисах для разработки, таких как mozilla.org и bugzilla.org, представляют не меньшую опасность и могут быть применены для атаки на всю инфраструктуру. Отныне вознаграждение можно будет получить и за сведения о проблемах с безопасностью на сайтах Mozilla.

За информацию об уязвимости на сайте, позволяющей выполнить код на сервере будет выплачено вознаграждение в $5000 для ключевых сайтов, $2500 для основных сайтов и $500 для вторичных ресурсов. За сведения об обходе механизмов аутентификации или подстановке SQL-кода размер премии составит $3000 и $1500, за CSRF, XSS или захват домена — $2500 и $1000.

В качестве примеров приводится XSS-уязвимость, позволяющая выполнить коммит в Git через манипуляции с комментариями на сайте bugzilla.mozilla.org, и уязвимость в сервисе arewefastyet.community.scl3.mozilla.com, позволяющая выполнить подстановку SQL-кода.

Источник: OpenNet.ru




(Visited 43 times, 1 visits today)

Добавить комментарий

Войти с помощью: