Zero
Trend Micro di Zero Day Initiative (ZDI) chiede ai ricercatori di concentrarsi sul lato server vulnerabilità attraverso un nuovo bug bounty oltre.
Martedì, l’iniziativa di ricerca, ha detto Mirati programmi di Incentivazione (TIP), un nuovo bolt-on al successo già ZDI bug bounty program, offerta di 1,5 milioni di dollari in “speciale bounty premi per obiettivi specifici.”
Mentre ZDI ha pubblicato più di 600 gli avvisi di sicurezza basato su bug bounty rapporti solo quest’anno, secondo Brian Gorenc, ZDI Direttore di Ricerca di Vulnerabilità, ora è il momento di iniziare a guidare i ricercatori “verso specifiche aree che ci interessano o migliorare le protezioni per i nostri clienti.”
La squadra, in particolare, vogliono iniziare a vedere più i rapporti concernenti la critica di classe, lato server vulnerabilità, e la speranza che il lancio di PUNTA causare un incremento della vulnerabilità critica rapporti che hanno un impatto su sistemi come WordPress, Drupal, e Microsoft IIS.
CNET: Facebook lancia il bug bounty program per i dati del report ladri
Tuttavia, le regole del bug bounty inoltre sono leggermente diversi. Lo speciale premio finanziario è disponibile solo per un certo periodo di tempo e sarà assegnato alla prima entrata di successo.
A partire dal 1 agosto, i ricercatori di sicurezza che possono entrare in rapporti per server-sistemi di lato. All’inizio, ZDI vuole concentrarsi soprattutto su prodotti open source. Per esempio, i ricercatori hanno tempo fino alla fine di ottobre per guadagnare $35.000 per scoprire e segnalare una vulnerabilità critica in WordPress, e fino alla fine di gennaio 2019, se vogliono la caccia exploit che hanno un impatto Microsoft IIS.
I tempi e le ricompense per le voci iniziali, in PUNTA di programma sono i seguenti:
“Il primo ricercatore che offre una cucina completamente funzionante sfruttare dimostrando l’esecuzione di codice remoto guadagna la piena bounty quantità,” Gorenc dice. “Una volta che il premio è sostenuto, l’obiettivo sarà rimosso dalla lista e un nuovo obiettivo sarà aggiunto alla lista di destinazione.”
TechRepublic: Top 5: i Motivi avete bisogno di un bug bounty program
Le voci devono includere pienamente funzionante exploit e non solo proof-of-concept (PoC) rapporti. In aggiunta, valida bug deve essere vulnerabilità zero-day, con la capacità di influenzare il nucleo del codice di obiettivi.
ZDI aggiunto che il TPI non valide devono sfruttare una vulnerabilità o una catena di bug per modificare lo standard di percorso di esecuzione di un programma o processo, in modo da consentire l’esecuzione di comandi arbitrari, bypassando il bersaglio di mitigazione difese nel processo.
Queste esecuzioni del codice, possono includere, ma non sono limitati a, Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) e l’applicazione di sandboxing.
Vedi anche: Hyperledger bug bounty program va
Se non diversamente indicato, bug bounty hunters devono adeguare il loro exploit di ricerca più aggiornati e completamente patchato la versione del software di destinazione.
Ora come ora, ZDI ha riservato più di $1 milione per le taglie, tra cui i futuri obiettivi, che in $200,000 — $250,000 gamma.
“Il bug di mira da questo programma rappresentano alcuni dei più ampiamente utilizzato e invocata software disponibile”, Gorenc, dice. “Non vediamo l’ora di trovare-e eliminando — come molti come possibile.”
Relazioni presentate al SUGGERIMENTO sarà consegnato allo stesso modo di Trend Micro corrente bug bounty program. Una volta notificato, fornitori avrà 120 giorni di tempo per risolvere i problemi di sicurezza.
Precedente e relativa copertura
Netflix chiede di iniziare a smanettarci, bug bounty program ora è pubblico Intel bug bounty program si espande con più premi Bug bounty hunter rivela DJI SSL, firmware chiavi pubbliche per gli anni
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0