苹果全面开放漏洞奖励计划:最高100万美元等你拿
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
刚刚,苹果公司发布“苹果安全漏洞奖励计划”,并表示如果研究人员决定捐赠奖励金,则公司会追加同等奖励金并捐赠给符合条件的慈善机构。
参与资格
要参加苹果安全漏洞奖励计划,所提交问题必须存在于最新公开的标准配置的iOS、iPadOS、macOS、tvOS 或 watchOS中,以及相关的最新公开发布的硬件中。这些资格规则旨在发布更新前包含客户的安全,确保苹果公司能够快速验证漏洞报告并创建必要更新,以及适当奖励开展原创性研究活动的研究人员。
研究员必须满足如下条件才可获得奖励:
必须是第一个向Apple Product Security 报告问题的人
提供的漏洞报告须清晰并包含可运作的exploit。
在苹果发布针对漏洞报告的安全公告前不能公开披露漏洞(通常而言安全公告和相关解决更新方案同步发布)。
如果研究人员发现的问题是苹果之前不知道的且是指定的开发者测试版和公开版(包括回归问题)中所特有的问题,则可获得50%的额外奖励金。符合该条件的问题包括:
某些指定的开发者测试或公开测试版本中引入的安全问题。并非所有的开发者或公开测试版均可获得这种额外奖励。
之前所解决问题的回归,包括已发布的安全公告中已解决的问题被重新引入开发者测试版或公开测试版中的情况。
奖励类别
漏洞奖励金根据所报告问题可实现的访问级别或执行情况以及报告质量确定。每个类别都设置了最高奖励金。确切的奖励金数额将由苹果公司审议后确定。所有对用户产生重大影响的安全问题,即使并不满足已公开的漏洞奖励类别,仍然可获得奖励金。该奖励计划的奖励金数额的确定由苹果公司决定。最高奖励金为100万美元,最低为5000美元。
另外,苹果公司还给出了奖励示例,如下:
漏洞报告和奖励指南
苹果公司指出,“苹果安全漏洞奖励计划”旨在通过了解漏洞及其利用技术来保护客户的安全。包含基本的PoC 而不是可运行的exploit 的漏洞报告获得的奖励金不能超过最高奖励金的50%。缺少必要信息使苹果公司无法复现问题的漏洞报告如被接受,则所赢得的奖励金将大大减少。
一份完整的漏洞报告应包括:
对所报告问题的详细说明
使系统处于受影响状态的任何前提条件和步骤
所报告问题的可靠exploit
使苹果公司能复现问题的足够信息
如何获得更多奖励金
要最大化奖励金,记住,苹果公司对如下问题更感兴趣:
影响多个平台
影响最新公开发布的硬件和软件
是指定的开发者测试版或公开版(包括回归问题)中新增功能或代码中独有的漏洞问题
影响多个敏感组件
新颖的漏洞
其它要求
除了提供完整报告外,如果要求执行多个exploit 以及一次或零次点击的漏洞问题要求提供完整的利用链,这样才能获得最大化的奖励金。利用链和报告必须包括:
编译版和源版
执行该利用链的一切
在必要的情况下提供不具破坏性的payload样本
漏洞报告发送
漏洞报告发送至 product-security@apple.com。在可能的情况下,通过 Apple Product Security PGPKey 加密所有的通信内容。邮件中需包含所有相关的视频、崩溃日志和系统诊断报告。在必要的情况下使用Mail Drop 发送大型文件。
推荐阅读
苹果推出 macOS 漏洞奖励计划,最高赏金100万美元
原文链接
https://developer.apple.com/security-bounty/payouts/?from=timeline
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 多多~
苹果全面开放漏洞奖励计划:最高100万美元等你拿相关推荐
- 1Password 将最高漏洞奖励调高至100万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 密码管理软件厂商1Password 宣布称,如有研究员可窃取机密则可获得最高100万美元的奖励. 最高奖励是该公司在 Bugcrowd 多年来运 ...
- GitHub 2019年漏洞奖励计划最值得回顾的2个精彩 bug
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 GitHub 发布博客文章指出,截止2020年2月份,GitHub 漏洞奖励计划已走过六个年头.GitHub提到,六年中支付的漏洞奖励 ...
- 华为开发者大会上,鸿蒙问世、方舟编译器开源、还有 EMUI 10;壕置100万美元,苹果推出漏洞攻击报告赏金计划……...
关注并标星星CSDN云计算 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...
- 苹果悬赏100万美元找漏洞 辞职的理由找到了!
12月21日,据外媒报道,苹果已经向所有安全研究人员开放其漏洞("bug")悬赏计划,为发现它的操作系统中的主要缺陷提供100万美元或更多奖励. 据悉,苹果该计划自2016年推出以 ...
- 【BlackHat】研究员吐槽苹果漏洞奖励计划
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 在2021年美国黑帽大会上,两名研究员指出绕过苹果 macOS 操作系统隐私机制的方法并不少.他们指出,虽然苹果设立了漏洞奖励计划奖励披露 ...
- 索尼推出 PlayStation 漏洞奖励计划,最严重漏洞5万美元起步
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 索尼宣布推出 PlayStation漏洞公开奖励计划,奖励安全研究员和玩家在 PlayStation 4 设备和 PlayStatio ...
- MakeDAO 推出新漏洞奖励计划,最高赏金1000万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 负责维护和监管 DAI 密币的平台 MakerDAO 发布漏洞奖励计划,最高赏金为1000万美元. MakerDAO 是去中心化金融 (DeFi ...
- 欧盟委员会支持5个开源项目漏洞奖励计划,奖金池20万欧元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 欧盟委员会发布新闻指出,如研究员能在欧盟广泛使用的开源项目 LibreOffice.LEOS.Mastodon.Odoo 和 CryptPad ...
- 谷歌发布 Linux 内核提权漏洞奖励计划,综合奖金最高超30万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌在博客中表示推出Linux 内核漏洞奖励计划,为其三个月(截止到当地时间2022年1月31日).如研究员能在实验环境中通过已修复漏洞实现提权 ...
最新文章
- MyEclipse内安装与使用SVN
- mysql long类型_怒肝两个月MySQL源码,我总结出这篇2W字的MySQL协议详解(超硬核干货)!!...
- 部署也是工程的一部分,也要编程(自动化)
- 异构计算:软硬件结合全栈助力AI大爆发
- 大河抽奖盲盒运营版 1.9.12开源版
- 微信支付官方SDK V3 .NET版的坑
- 单行溢出文本显示省略号的方法(兼容IE FF)
- 从 Amazon Graviton3 发布,看 2022 云计算的核心方向
- Button switch..case 语句监听按钮点击的方法。。下面这方法好。
- 今天懒一次 豆瓣电影Top250
- Machine Learning: A Probabilistic Perspective——Chapter 1
- 微信背单词小程序——小鸡单词
- 开博了,微博太短,不适合,还是稀饭大的博客
- 用Java实现圆锥的体积公式_圆锥的体积公式及其推导
- Android车载技术之蓝牙通讯——如何蓝牙播放音乐
- MATLAB代码:面向削峰填谷的电动汽车多目标优化调度策略
- 《斯坦福极简经济学》读书笔记
- Python正则表达式在线练习(网页版)和离线练习(本地版)
- poj 3009 Curling 2.0
- Windows密码凭证获取学习
热门文章
- 2010.11.25感恩节
- 高级恶意软件技术新挑战——突破主动防御
- 咏南WEB APP开发框架
- 从0到1简易区块链开发手册V0.6-实现打印区块
- [Python学习25] 关于函数更多的练习
- XenDesktop 5之痛---Database Transaction Log速增
- 安卓 SQLite error:SQLite database locked exception while compling : PRAGMA journal_mode .....
- cocos2dx 云彩特效
- initrd的使用及说明
- python脚本-记录Python脚本的运行日志的方法