T.S. |
Google 宣誓懸賞,看看有誰能找出其網頁應用漏洞。
Google 在 2010 年 1 月也曾針對其 Chrome 網頁瀏覽器推出一項漏洞獎勵計畫,改善了該公司的產品安全性。如今,該公司決定再次提供獎金,鼓勵個人通報其網路應用安全漏洞。
Google 資安團隊人員在部落格中發文指出,該公司希望新的獎勵計畫可以吸引新的研究人員與更多形式的報告,協助其找出可能的漏洞,以進一步提升安全性。
這項擴大獎勵計畫將涵蓋所有 Google 內容網頁,其中也包含具高敏感度的用戶資料。舉例來看,像是 Google.com 、 YouTube.com 、 Blogger.com 以及 Orkut.com 都可能涵括其中。
Google 目前尚未明確指出,所找出的漏洞屬於何種類型,才會是其所要獎勵的對象。相反地,該公司現僅提供了一般性的指導原則。而參與者所找出的漏洞,無論是否能夠獲獎,都必須先通過 Google 的審查。
對 Google 來說,有獲獎價值的項目,包含 XSS 、 XSRF/CSRF 、 XSSI,能夠繞過授權控制的漏洞,以及伺服器端執行代碼或系統指令碼注入攻擊。
Google 列出了一些不符合漏洞獎勵計畫的項目,像是攻擊 Google 的設備、社會工程與實體攻擊、服務阻斷漏洞、用戶端漏洞、搜尋引擎病毒化 (SEO) 駭客攻擊技術、由第三方負責營運的 Google 品牌網站漏洞,或是以 Google 最近併購的漏洞技術進行攻擊。
至於 Google 的桌面應用與行動應用,像是 Android 、 Picasa 網路相簿以及 Google Desktop,則不在這次的漏洞獎勵計畫之列。
這項漏洞計畫是從 500 美元起跳,如果符合條件,找到的是非常嚴重之錯誤,則獎金最高還可升至 3,133.7 美元。 Google 表示,該公司提供得獎人自行選擇的機會,倘若他們並不想要這份獎金,只要經得獎者確認,便會將獎金直接交付給慈善機構。
Google 表示,該公司無法提供獎金給遭美國製裁之國家的個人或未成年人。