语法拼写检查公司 Grammarly 推出漏洞奖励计划

编译：360代码卫士团队

热门的语法拼写检查服务 Grammarly 本周宣布推出公开的漏洞奖励计划。

Grammarly 已经在 HackerOne 平台上运行了一年多的私密漏洞奖励计划。该计划的参与人员达到近1500人，共支出奖励金5万美元。

Grammarly 最近决定通过 HackerOne 平台公开其漏洞奖励计划，并打算为严重漏洞支付最多3000美元的奖励。然而，该公司表示可能会为不同寻常的黑客技术支付额外奖金，并且如果提交的漏洞报告能使内部安全团队发现更为严重的问题的话，奖励将更高。

Grammarly 公司的工程副总裁 Joe Xavier 表示，“定价相对灵活，它取决于所发现漏洞的影响力或者对其它实例的影响如明确的报告或自动版本的报告，它们有助于我们改进内部测试框架。”

能获得最高奖励的漏洞包括影响 Grammarly 浏览器扩展、移动键盘、微软 Office 附件或 Desktop 编辑器的严重漏洞。

Xavier 解释称，“我们接收各种各样的漏洞报告，尤其是那些针对我们原生应用程序的具有高奖金的报告。对于具体的威胁而言，我们感兴趣的威胁包括跨站请求伪造 (CSRF)、XML 外部实体注入 (XXE) 和 WAF 入侵攻击场景。奖励计划不涵盖要求对用户计算机获得物理访问权限的攻击。”

他补充表示，“我们的公开漏洞奖励计划覆盖为终端用户提供的所有产品，如 Grammary Web 编辑器、浏览器扩展（Chrome、Safari、火狐和 Edge）、macOS 和 Windows 版本的原生 app 以及 iOS 和安卓版本的移动键盘。”

今年早些时候，谷歌 0day 漏洞研究员 Tavis Ormandy 在该公司的浏览器扩展中发现一个漏洞，可被恶意网站用于访问用户数据。Grammarly 随后匆忙推出补丁。

原文链接

https://www.securityweek.com/grammarly-launches-public-bug-bounty-program

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士 www.codesafe.cn”。