Nul
Trend Micro ‘ s Zero Day Initiative (ZDI) er at bede forskerne til at fokusere på server-side sårbarheder gennem en ny bug bounty ud.
Tirsdag, den forskning initiativ, sagde Målrettet incitamentsprogram (SPIDS), en ny bolt-on til allerede vellykket ZDI bug bounty program, vil tilbyde en $1,5 millioner i “særlige bounty præmier til de konkrete mål.”
Mens ZDI har publiceret over 600 sikkerhedsbulletiner, baseret på bug bounty rapporter alene i år, ifølge Brian Gorenc, ZDI Direktør for Sårbarhed Forskning, nu er det tid til at begynde at lede forskere “mod specifikke områder, der enten interesserer os eller forbedre beskyttelse for vores kunder.”
Holdet, i særdeleshed, vil begynde at se flere rapporter om kritiske klasse, server-side sårbarheder — og de håber, at lanceringen af TIP, vil medføre en uptick i kritisk sårbarhed rapporter, som påvirker systemer som WordPress, Drupal, og Microsoft IIS.
CNET: Facebook lancerer bug bounty program til at indberette data tyvene
Men de regler, der af den bug bounty ud, er lidt anderledes. Den særlige finansielle belønning er kun tilgængelige i en vis periode af tid — og vil kun blive tildelt til den første vellykkede indlæg.
Starter 1. August, sikkerhed forskere kan komme ind rapporter for server-side-systemer. I begyndelsen, ZDI ønsker at primært fokusere på open source-produkter. For eksempel, har forskerne indtil slutningen af oktober for at tjene $35.000 til at opdage og rapportere en kritisk sårbarhed i WordPress, og indtil udgangen af januar 2019, hvis de ønsker at jage exploits, som påvirker Microsoft IIS.
Den tid, rammer og belønninger for første indgange i SPIDSEN programmet nedenfor:
“Den første forsker, der giver en fuldt fungerende udnytte viser fjernkørsel af programkode tjener fuld bounty beløb,” Gorenc siger. “Når prisen er hævdet, at målet vil blive fjernet fra listen, og et nyt mål vil blive tilføjet til target list”.
TechRepublic: Top 5: Grunde, du har brug for en bug bounty program
Poster skal indeholde fungerer fuldt ud, udnytter og ikke bare proof-of-concept (PoC) rapporter. Desuden er gyldige bugs er nødt til at være zero-day-sårbarheder med kapacitet til at påvirke den centrale kode for mål.
ZDI tilføjede, at TPI poster skal udnytte enten en svaghed, eller en kæde af fejl for at ændre standard-udførelse vej af et program eller en proces med henblik på at muliggøre udførelse af vilkårlige kommandoer, uden om målet er afbødning forsvar i den proces.
Disse kode henrettelser kan omfatte, men er ikke begrænset til, Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) og anvendelse sandboxing.
Se også: Hyperledger bug bounty program går offentligt
Medmindre andet er angivet, er bug bounty jægere skal skræddersy deres udnytte søgning til de nyeste, fuldt patchede version af målet software.
Hvad nu, ZDI har reserveret over $1 million for dusører, herunder fremtidige mål, som vil være i $200.000 — $250,000 rækkevidde.
“Bugs rettet af dette program repræsenterer nogle af de mest udbredte og påberåbes softwaren til rådighed,” Gorenc siger. “Vi ser frem til at finde-og fjerne-så mange som muligt.”
Rapporter til TIP, vil blive afleveret på samme måde som Trend Micro ‘ s nuværende bug bounty program. Når anmeldt, vil sælgerne har 120 dage til at løse sikkerhedshuller.
Tidligere og relaterede dækning
Netflix beder dig om at begynde hacking, bug bounty program er nu offentlige Intel bug bounty program udvider med flere belønninger Bug bounty hunter afslører, DJI SSL -, firmware-taster har været forbudt i årevis
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0