Mozilla 扩展漏洞奖励计划,涵盖利用缓解技术绕过
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Mozilla 扩大其漏洞奖励计划。如道德黑客能挫败 Firefox web 浏览器中内置的利用缓解和纵深防御措施,则可获得最高1万美元的奖励。
新推出的利用缓解奖励计划甚至涵盖依赖特权访问权限的利用缓解中出现的漏洞,而此前这些bug 不在奖赏范围内。另外,如能找到不依赖特权访问权限的利用缓解bug,则研究员可获得额外50%的奖金。
Mozilla 发布博客文章指出,“此前,在测试场景中绕过缓解如直接测试 HTML Sanitizer 将被归类为低危或中危漏洞,而现在也可获得等同于高危级别漏洞的奖励。另外,如果该漏洞无需特权访问权限即可触发,则可同时获得常规安全漏洞奖励金和缓解绕过奖励金,从而获得额外奖金。”
另外,继多名外部安全研究员在 Firefox 的 Nightly 预发版本中发现了多个 bug,Mozilla 在四天宽限期后颁发奖励金后做出了重大改变,“我们仍然希望鼓励Nightly 漏洞挖掘,即使其它漏洞奖励计划不包括这一类型。但向我们自己发现的显然是短暂的问题发放奖励,并未改进 Firefox 的安全性或者鼓励创新的 fuzzer 改进。”
公司重组
当前做出的改变是继 Mozilla 在今年4月提供更高奖励金并摆脱此前的“第一个报告提交者获赏”的策略,而提倡奖励金共享策略。
本月早些时候,Mozilla 宣布重组计划,导致250个岗位消失,并将原因归咎于“全球疫情引发的经济形势已严重损害我们的收益”。
推荐阅读
Mozilla 加大火狐浏览器漏洞奖励力度
Mozilla 修复已遭利用的两个火狐浏览器 0day
原文链接
https://portswigger.net/daily-swig/mozilla-extends-bug-bounty-program-to-cover-exploit-mitigation-bypass-payouts
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
Mozilla 扩展漏洞奖励计划,涵盖利用缓解技术绕过相关推荐
- 谷歌漏洞披露规则增加30天补丁缓冲期;Reddit 公开漏洞奖励计划
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码安全卫士 本周,Reddit 宣布在 HackerOne 平台推出公开漏洞奖励计划,最高赏金为1万美元.谷歌 Project Zero 更改漏洞 ...
- HackerOne漏洞奖励计划扩展至开源漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 HackerOne 平台扩展互联网漏洞奖励项目,推动开源安全. 开源项目由全球开发人员以个人形式或团队形式运营,很多企业都依赖于此.开源组件以公 ...
- 谷歌推出 GKE 开源依赖关系漏洞奖励计划
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周,谷歌宣布称扩展其漏洞奖励计划 (VRP),谷歌 Kubernetes Engine (GKE) 重要的依赖关系被纳入其中. 这一 ...
- 微软将本地版Exchange、SharePoint和Skype 纳入漏洞奖励计划
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,微软宣布将企业本地版 Exchange.SharePoint 和 Skype 纳入应用程序和本地服务器漏洞奖励计划. 如研究人员能从这些产 ...
- MakeDAO 推出新漏洞奖励计划,最高赏金1000万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 负责维护和监管 DAI 密币的平台 MakerDAO 发布漏洞奖励计划,最高赏金为1000万美元. MakerDAO 是去中心化金融 (DeFi ...
- Clubhouse 推出漏洞奖励计划,严重漏洞最高可获3000美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 音频聊天室应用 Clubhouse 在 HackerOne 平台推出了公开的漏洞奖励计划:找到严重.高危.中危和低危漏洞的研究人员最多可获 ...
- 微软推出 Power Platform 漏洞奖励计划
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,微软宣布将开始接收关于 Power Platform 的漏洞报告. 微软指出,研究人员如能发现并报告位于 Power Platform 中 ...
- 漏洞奖励计划的五大成功要素问答实录
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 媒体网站 Threatpost 邀请漏洞奖励社区的四名意见领袖参加了一场题为<运行成功的漏洞奖励计划的五大要素>的网络研讨 ...
- 谷歌将反欺诈系统绕过纳入漏洞奖励计划
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 近日,谷歌宣布称其漏洞奖励计划 (VRP) 将绕过该公司的滥用.欺诈和垃圾信息系统的方法也纳入其中. 谷歌表示,"有效报告包 ...
最新文章
- c语言sleep_编程代码:用C语言来实现下雪效果,这个冬天,雪花很美
- hdu_5761_Rower Bo(xjb猜公式)
- 阿里云服务器配置开发环境第五章:Centos7.3切换为iptables防火墙
- 重新标注 ImageNet:多标签,全面提升模型性能
- Oracle Partition By 的使用
- (转)使用Spring配置文件实现AOP
- openstack mysql默认密码_OpenStack 安装数据库和rabbitmq消息队列 (三)
- VS2010编译器经常遇到的小问题
- python3 第二十五章 - comprehensions(推导式)
- C++自定义异常处理
- python可用编程模块规模多大_哪些Python模块可用于编程竞赛?
- NVisionXRFBXConverter(Beta版)实践课程
- 易语言雷电模拟器adb模块制作实现一键模拟器多开
- seo优化之怎样降低网站跳出率
- 四种最常见路由协议 RIP、IGRP、OSPF和EIGRP。
- 解决Android WebVIew中视频播放前出现的灰色三角形播放图标
- inet_ntoa() inet_aton()
- Kid的某些跳刺套路
- 研发效能度量实践者指南(万字长文)
- Linux下安装钉钉
热门文章
- 三道简单算法题(二)
- 当UINavigationController作为UIViewController之后如何去除上部的空白
- [error] eclipse编写spring等xml配置文件时只有部分提示,tx无提示
- October CMS - 快速入门 1 安装
- 基于BIND软件实现互联网DNS解析
- HBase常用操作备忘
- heartbeat V2实现MySQL+NFS高可用
- 在行进中开火 Fire and Motion By Joel Spolsky
- vue 一个组件内多个弹窗_使用vue实现各类弹出框组件
- Android* 4.1.1 (Jelly Bean) x86 模拟器系统映像