Meta 推出完整性检查绕过漏洞奖励计划
编译:代码卫士
Meta 表示,这次漏洞奖励计划扩展是为了吸引研究人员关注可被攻击者用于绕过特定完整性检查而限制滥用行为的安全问题。这类检查包括针对特定业务管理者账户的强制性双因素认证机制、Facebook 公司自己的应用验证流程或特性限制。
例如,如果研究人员发现的漏洞可导致绕过企业因违反Facebook 策略而被自动置于隔离状态的绕过,或者发现的漏洞可导致篡改在其它企业执行的限制或篡改限制申诉,则可获得奖励。
如研究人员可找到可能在无需触发 Business Manager 双因素认证弹出就执行敏感操作的端点,则可最高获得2000美元的奖励。
Meta 还表示,愿意为在广告支付基础设施中找到漏洞的研究员支付高额奖励。如果研究员发现的漏洞可“在无需使用有效支付方法的情况下,创建任意预付余额”,则可获得最高2万美元的奖励;如漏洞“在无需有效支付的情况下,可用于删除任意未清账款”,则可获得最高1.5万美元的奖励。
如漏洞可导致篡改 Facebook Audience Network 中的衡量因素,研究员也可获得奖励。如漏洞报告证明在无需用户交互的情况下,“能够通过广告分发安装程序”,则可获得最高奖励1万美元。
如研究员可演示通过虚假印象(无需使用外部僵尸网络、脚本、社工或虚假账户)的方式生成广告收益的方法,则可获得最高2万美元的奖励。
影响Facebook Audience Network 中展示的广告完整性的场景也在漏洞奖励范围内。如果攻击向量同时是高度可扩展且可利用的,则可获得最高1万美元的奖励。
Meta 同时将应用审计流程中的漏洞纳入漏洞奖励范围,这些漏洞能够在审计流程结束后篡改应用的身份。
另外,如漏洞可使应用在距离用户上次使用应用后,在90天宽限期后仍然可访问用户信息;漏洞可导致应用程序绕过Facebook 的 API 调用速率限制,则也可获得奖励。
如果漏洞可导致绕过惩罚(如用户账户暂停或禁用)违反策略,则也可获得奖励。另外,如漏洞可导致用户申诉被绕过或修改,也可获得奖励。
19岁黑客找到暴露 Facebook 页面管理员的缺陷,获4500美元奖励
这两个漏洞暴露 Facebook Group 成员,有个用手机就能发现,获奖$9000
Facebook 公开 APT32 身份,疑为越南本地一家 IT 公司
https://www.securityweek.com/meta-offers-rewards-flaws-allowing-attackers-bypass-integrity-checks
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。