Pull to refresh

Google начинает платить за найденные дыры во всех веб-продуктах

Information Security *
Обкатав программу вознаграждений за найденные уязвимости на браузере Chromium, компания Google решила распространить её на все свои продукты. Теперь можно получить от $500 до $3133,7 за найденные баги в
  • *.google.com
  • *.youtube.com
  • *.blogger.com
  • *.orkut.com
Программа вознаграждений не действует только для клиентских приложений (Android, Picasa, Google Desktop и проч.), а так всё остальное в неё включено, в том числе Gmail, Youtube и Google Docs.

На оплату могут претендовать все серьёзные баги, особенно
  • XSS
  • XSRF / CSRF
  • XSSI (cross-site script inclusion)
  • Обход авторизации (User A получает доступ к приватным данным User B)
  • Исполнение кода на стороне сервера или внедрение кода
Сообщать о найденной уязвимости можно здесь. Под программу вознаграждений не подпадают баги в технологиях, недавно приобретённых Google, методы чёрной SEO-оптимизации, атаки с помощью социальной инженерии, DoS-атаки и тому подобное.

Заметим, что кроме Google только Mozilla платит за найденные баги в своих продуктах. Ни Microsoft, ни Adobe, ни Oracle не делают этого. Впрочем, с недавнего времени покупкой информации о свежих уязвимостях занимаются также TippingPoint (программа Zero Day Initiative) и VeriSign (программа iDefense), хотя их тарифы вряд ли дотягивают до тех, какие предлагает чёрный рынок.
Tags:
Hubs:
Total votes 61: ↑50 and ↓11 +39
Views 7K
Comments Comments 62