Python 微软 nginx Ubuntu HTML5 java apache php Firefox linux google Android 开源 shell mysql centos wordpress Windows linux命令 程序员

Google提高抓虫人的悬赏金

对那些在研究 Google 众多产品漏洞的朋友(抓虫人)来说,有一个好消息,Google 已调整其漏洞奖励计划,现在更能吸引安全研究人员去抓虫了。

将近有三年历史的 Google 漏洞赏金计划现在终于有调整了。现在开始,抓虫人

  1. 在 https://accounts.google.com 发现一个跨站点脚本漏洞(XSS),可拿到 7,500 美元,以前是 3,133.70 美元;
  2. 在 Gmail 和 Google Wallet 上发现 XSS 或其他漏洞,可拿到 7,500 美元,之前是 1,337 美元;
  3. 在其他 Google 站点上的发现一个 Bug,可拿到 3,114.70 美元,以前是 500 美元;
  4. 发现绕过认证和信息泄露的“重大”漏洞,可拿到 7,500 美元,以前平均是 5,000 美元。

为什么要给抓虫人提高奖励?Google安全团队成员 Adam Mein 和 Michal Zalewski 在一篇博文说过,“提高奖励,应当能发现Google产品那些难度较高的Bug。”

自从 2010 年 11 月开始,Google 已通过漏洞奖励计划向 250 多名安全研究人员支付超过 828,000 美元。其中有些研究人员还把奖金捐赠给福利事业。“我们的漏洞奖励计划已非常成功,在帮助我们修复更多漏洞和更好地保护用户方面已有显著效果,当然也加强了我们和安全研究人员之间的关系,” Google 安全团队如是说。

在提高发现漏洞的奖励之前,Google 正好在5月末宣布了一条更积极的披露政策,如果Google自家安全研究人员在其他厂商的软件由“零日”漏洞,并且厂商在七天内容没有提供对应咨询或补丁,那Google允许自家安全研究人员披露“零日”漏洞细节。披露政策中的这一变化,旨在给其他厂商施压,督促其更快修复漏洞。

Google的安全研究人员5月份在一篇博文中披露了一起利用零日漏洞攻击厂商(名字未透露)的事件。“我们最近发现,趁未修复漏洞,有攻击者在瞄准了某家厂商的软件。这并不是独立事件。发现类似事情,我们通常立即向受影响的厂商通报,并且和他们密切合作,来推动解决问题。”

延伸阅读

评论