XSSposed изменил правила программы вознаграждения за найденные уязвимости

image

Теги: уязвимость, компрометация, вознаграждение

Исследователи смогут в частном порядке информировать владельцев сайтов о найденных XSS-уязвимостях.

В минувшие выходные проект XSSposed анонсировал изменения в правилах программы по поиску уязвимостей Open Bug Bounty. Теперь исследователи смогут в частном порядке информировать владельцев сайтов о найденных XSS- и подобных уязвимостях.

Данное нововведение позволит исследователям продемонстрировать наличие проблемы без публичного обнародования информации, не раскрывая факт наличия уязвимости на сайте. Как считают в организации, новый подход будет более результативным для исследователей, поскольку компании не смогут отказать в выплате вознаграждения, ссылаясь на различные причины. К примеру, на отсутствие уязвимости, несоответствие критериям и пр.

Напомним, в декабре прошлого года SecurityLab писал о конфликте между Facebook и исследователем Уэсли Вайнбергом (Wesley Weinberg), обнаружившем критическую уязвимость в Instagram. Вайнбергу удалось получить доступ к конфиденциальной информации 400 млн пользователей. Руководство Facebook потребовало от хакера удалить все загруженные данные, угрожая судебным разбирательством.

Помимо прочего, организаторы проекта Open Bug Bounty усовершенствовали систему извещения об ошибках – теперь владельцы сайтов будут получать мгновенные уведомления о проблеме. По мнению организаторов, методы обнаружения XSS-уязвимостей не наносят вреда ресурсам, однако наличие подобной проблемы часто приводит к компрометации сайта.

Некоммерческий online-реестр XSSposed был создан в 2014 году как платформа, где участники могут оставить информацию о найденной XSS-уязвимости в любом сайте. Далее информация проверяется и публикуется с отсылкой к исследователю.


или введите имя

CAPTCHA