查看原文
其他

Meta 推出完整性检查绕过漏洞奖励计划

Ionut Arghire 代码卫士 2022-06-08

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

上周,Facebook 母公司 Meta 宣布漏洞奖励计划将涵盖可被用于绕过完整性防护措施的漏洞。

Meta 表示,这次漏洞奖励计划扩展是为了吸引研究人员关注可被攻击者用于绕过特定完整性检查而限制滥用行为的安全问题。这类检查包括针对特定业务管理者账户的强制性双因素认证机制、Facebook 公司自己的应用验证流程或特性限制。

例如,如果研究人员发现的漏洞可导致绕过企业因违反Facebook 策略而被自动置于隔离状态的绕过,或者发现的漏洞可导致篡改在其它企业执行的限制或篡改限制申诉,则可获得奖励。

如研究人员可找到可能在无需触发 Business Manager 双因素认证弹出就执行敏感操作的端点,则可最高获得2000美元的奖励。

Meta 还表示,愿意为在广告支付基础设施中找到漏洞的研究员支付高额奖励。如果研究员发现的漏洞可“在无需使用有效支付方法的情况下,创建任意预付余额”,则可获得最高2万美元的奖励;如漏洞“在无需有效支付的情况下,可用于删除任意未清账款”,则可获得最高1.5万美元的奖励。

如漏洞可导致篡改 Facebook Audience Network 中的衡量因素,研究员也可获得奖励。如漏洞报告证明在无需用户交互的情况下,“能够通过广告分发安装程序”,则可获得最高奖励1万美元。

如研究员可演示通过虚假印象(无需使用外部僵尸网络、脚本、社工或虚假账户)的方式生成广告收益的方法,则可获得最高2万美元的奖励。

影响Facebook Audience Network 中展示的广告完整性的场景也在漏洞奖励范围内。如果攻击向量同时是高度可扩展且可利用的,则可获得最高1万美元的奖励。

Meta 同时将应用审计流程中的漏洞纳入漏洞奖励范围,这些漏洞能够在审计流程结束后篡改应用的身份。

另外,如漏洞可使应用在距离用户上次使用应用后,在90天宽限期后仍然可访问用户信息;漏洞可导致应用程序绕过Facebook 的 API 调用速率限制,则也可获得奖励。

如果漏洞可导致绕过惩罚(如用户账户暂停或禁用)违反策略,则也可获得奖励。另外,如漏洞可导致用户申诉被绕过或修改,也可获得奖励。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com






推荐阅读

19岁黑客找到暴露 Facebook 页面管理员的缺陷,获4500美元奖励

Facebook 允许漏洞猎人抱团提交漏洞报告分享奖金

这两个漏洞暴露 Facebook Group 成员,有个用手机就能发现,获奖$9000

Facebook 公开 APT32 身份,疑为越南本地一家 IT 公司

我发现Facebook Messenger漏洞可使安卓用户互相监听,获奖6万美元

Hacker Plus:Facebook 推出漏洞奖励 “忠诚计划”




原文链接

https://www.securityweek.com/meta-offers-rewards-flaws-allowing-attackers-bypass-integrity-checks


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存