哭!有人偷了我的漏洞报告,还冒领了奖金!
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
漏洞奖励计划在安全意识提升和负责任的漏洞披露方面发挥着不可忽视的作用,获得安全社区越来越多的关注。但也存在问题。
漏洞奖励计划满足了真正的需求。渗透测试人员和研究员以负责任的方式向企业提交漏洞报告,同时漏洞奖励计划为研究人员提供现金奖励。
猎洞不仅仅是一项让安全社区受益的事业,同时也是数百万美元的产业。
去年,HackerOne 平台共支付6200多万美元的奖金,最新报告指出,今年该平台已发放超过1亿美元的奖金。
剽窃 exploit,盗走奖金
像 HackerOne 和 Bugcrowd 这样的平台旨在在安全专业人士之间推广道德、信任和责任文化。遗憾的是,某些人可能滥用这些系统谋取私利。
上周末,安全专业人员 Guido Vranken 表示,向HackerOne 平台上Monero 漏洞奖励计划提交的一份漏洞报告是抄袭自己的。这个漏洞是一个严重的缓冲溢出缺陷 (CVE-2019-6250),是Vranken 从 libzmq 4.1 系列中发现并在2019年1月告知开发人员的。
Vranken 发布推文指出,”呵呵,有人一字不差地复制粘贴了我的 libzmq exploit 和分析,报告给 HackerOne 漏洞奖励平台并拿走了奖金。“
尽管 HackerOne 公司员工此前曾关闭剽窃他人成果的漏洞报告,但仍然难以斩草除根。
在本文撰写期间,Monero 公司的员工在这份 HackerOne 报告中指出,即使该漏洞是剽窃的,但他们无法追回已支付的奖金:“备注:这份漏洞报告盗自 Guido Vranken,而他的原创报告未得到任何致谢。我们忙于问题复现和修复,造成此次疏忽。这种卑劣行径为人不齿。请住手。我们已联系 Guido 支付奖金;遗憾的是,我们无法从 Everton Melo 手中追回这笔奖金。“
这份漏洞报告在2019年7月出现在 HackerOne 平台上,和 Vranken 于2019年1月提交的报告一字不差。
Monero 仔细分析后判断,“4.1 系列似乎不受 CVE-2019-6250 的影响,但受 CVE-2019-13132 的影响,因此向 Melo 发出奖金。“这也是 HackerOne 平台将 CVE-2019-6250 替换为 CVE-2019-13132 的原因所在。
值得注意的是,尽管剽窃是不道德的,但一旦某个漏洞被公开披露,我们无法阻止有些人复制、调整字句并获得致谢和奖金。
为了降低漏洞报告被剽窃的几率,应当以负责任的方式提交漏洞报告,理想情况是私下提交。
除非漏洞报告真实性验证策略和奖金报告策略得到平台的审计,否则仍然存在遭恶意人员滥用的空间。
目前,Vranken 和 Everton Melo 均未置评。
推荐阅读
HackerOne 公布十大漏洞奖励计划“豪门”
我发现了一个价值8500美元的 HackerOne 平台漏洞
HackerOne《2019年黑客驱动安全》报告来了:看完你还坚持挖吗?
原文链接
https://www.bleepingcomputer.com/news/security/bug-bounty-reporter-cashes-out-on-someone-elses-exploit/
题图:Pixabay License
文内图:bleepingcomputer
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
哭!有人偷了我的漏洞报告,还冒领了奖金!相关推荐
- Web Hacking 101 中文版 二十、漏洞报告
二十.漏洞报告 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 所以这一天终于来了,你发现了你的第一个漏洞. 首先,恭喜你! 认真来讲,发现漏洞并不容易,但是有一 ...
- 漏洞报告平台乌云停业整顿:白帽子游走于法律边界
白帽子袁炜因在乌云网提交世纪佳缘漏洞被抓后,乌云网再一次陷入风波.不仅乌云网站无法打开,有传闻称,乌云高管也被抓. 就在昨日,乌云发布一则公告,宣布为了更好的向大家提供服务,乌云及相关服务将进行升级, ...
- 教怎样写好一份“漏洞报告”
写好报告 漏洞赏金猎人的工作不仅仅是寻找漏洞:它还向组织的安全团队解释它们.如果您提供一份写得很好的报告,您将帮助与您合作的团队重现漏洞利用,将其分配给适当的内部工程团队,并更快地解决问题. 商业化的 ...
- ocx控件 postmessage消息会消失_通过HackerOne漏洞报告学习PostMessage漏洞实战场景中的利用与绕过...
0x00 前言 这是一篇关于postMessage漏洞分析的文章,主要通过hackerone平台披露的Bug Bounty报告,学习和分析postMessage漏洞如何在真实的场景中得到利用的. 0x ...
- 去年微软颁发1360万美元奖励,中国提交的漏洞报告数量位列前三强
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 微软指出,一年来通过公开的漏洞奖励计划共向研究员颁发超过1360万美元的奖金. 微软表示: 在2020年7月1日至2021年6月30日期间 ...
- nessus漏洞报告英文翻译中文脚本
目前,大家对于nessus漏洞报告英文翻译中文的脚本有非常大的需求,目前我们有一起维护脚本的群,并附带详细的操作文档,对于nessus最新版的插件包也有共享,欢迎大家加入我们. Q群号,200 ...
- 推荐一款自动向hackerone发送漏洞报告的扫描器
推荐一款自动向hackerone发送漏洞报告的扫描器 自从阿浪写了那个工具,总感觉没有web页面就是没有灵魂,然后在GitHub闲逛的时候,发现了这一款工具,用了一个多月,效果还行,可以平替,唯一的缺 ...
- Acunetix Web 应用程序漏洞报告 2020
欢迎阅读 2020 年版的 Acunetix Web 应用程序漏洞报告. 每年,Acunetix都会分析从 Acunetix Online 收到的数据并创建漏洞测试报告.此报告代表 Web 应用程序和 ...
- 阿里巴巴集团漏洞报告提交
如果您在使用阿里巴巴集团产品(阿里巴巴,淘宝,支付宝,雅虎口碑,阿里妈妈,阿里软件)过程中,发现了安全漏洞,请发送包含漏洞报告的邮件至 security@service.alibaba.com 我们会 ...
最新文章
- C#LeetCode刷题-多线程
- “李国庆午餐1小时”12.94万成交!同时对家暴非常自责
- Struts2标签-checkbox只读属性设置
- C语言之32个关键字
- The authors of these two monitoring tools
- pycharm 里面配置pip,安装库
- Android Studio connot resolve symbol XXX 无法解析的符号
- 小川用的Ubuntu软件和库
- oracle建立索引 例子,ORACLE全文索引建立查询实例
- Word2013设置多级标题自动编号
- 致远oa系统unix 服务器,致远oa服务器设置
- 提高效率:10款好用的谷歌chrome浏览器插件、扩展程序
- android图片系统解决方案-从采集到显示
- hdu5594 ZYB's Prime
- 美好只在一瞬间[frwy]
- ps保存图片时为了可以发送到微信中(微信大于25M的图片不能发送) 应该这样保存图片!!!...
- hadoop入门介绍(一)
- 2021-10-31日志、错误码、异常设计
- 3G门户4年衰落:转型平台遇阻 上市梦无期
- MEMS电容式加速度传感器(简介)-传感器专题