加价不加量:谷歌微软最高漏洞奖励增加一半和一倍
白帽黑客和漏洞猎手的福音来了!
谷歌和微软都提高了对安全研究人员的奖励额度。微软将最高奖励从1.5万美元增加到3万美元;而谷歌将最高奖励从2万美元提升至3.1337万美元即奖励额度增加了50%外加1,337美元的奖金或leet奖励。
过去,每个大公司如谷歌、P*rnHub和美国网件都设立了漏洞奖励计划鼓励黑客和研究人员找到并将漏洞告知公司并获取奖励。但随着越来越多的漏洞猎手参与到漏洞奖励项目中来,常见和易于发现的漏洞几乎都所剩无几了,而且即使存在,也引发不了任何严重影响。复杂和远程可利用漏洞就成为宠儿,要找到它们需要花费更多的时间和精力。因此激励研究人员做这些事情就显得很有必要。
此前谷歌为远程代码执行漏洞和不受限制的文件系统或数据库访问漏洞提供的奖励是2万美元,而现在这个数字增加到了3.1337万美元和1.3337万美元。要获取最高奖励3.1337万美元,猎手需要从敏感app如Google Search、Chrome Web Store、Accounts、Wallet、Inbox、Code Hosting、Google Play、App Engine何Chromium Bug Tracker中找到命令注入、沙箱逃逸和反序列漏洞。而如果在不受限制的文件系统或数据库访问类别中找到的漏洞影响高度敏感服务如未经沙箱的XXE和SQL注入漏洞,则可获取1.3337万美元的奖励。
谷歌从2010年推出漏洞奖励计划以来,已经颁发出900万美元的奖励,而去年则是颁发出300万美元的奖励。
微软提高奖励的漏洞包括在Outlook和Office服务中发现的XSS、CRSF、未经授权的跨租户数据篡改或访问(针对多租户服务)、不安全的对象引用注入、服务器端代码执行和权限升级漏洞。
这两大巨头都在尽力保证自家软件和产品的安全性。黑客将在提交漏洞及有效的PoC代码后获得奖励。
还在等什么?快快行动吧!