正文

行业洞察|漏洞赏金雷达//2023年1月最新的漏洞赏金计划

admin
admin V管理员 /0 评论 /291 阅读
0106
此篇文章发布距今已超过687天,您需要注意文章的内容或图片是否可用!

点击上方蓝字关注我们

随着2022年的结束,HackerOne透露,由于企业开始进行数字化转型,2022基于云计算的漏洞变得越来越普遍


该漏洞赏金平台报告称,安全研究员们在这一年通过其服务发现了超过65000个软件漏洞,相比2021年增长了21%。


错误配置类漏洞也增长了150%,不当授权类漏洞增长了45%--这主要是因为企业在迁移到云端时,正在建立越来越精细的权限。


漏洞赏金见闻


漏洞赏金见闻——Intel


Intel最近向RCE Security的Julien Ahrens支付了1万美元的漏洞赏金--尽管对该漏洞的严重性有异议。


Ahrens通过欺骗Kerberos和LDAP(轻量级目录访问协议)响应,绕过了Intel数据中心管理器(DCM)认证,声称这导致了远程代码执行(RCE)。


Intel致谢了这个漏洞,并给它的严重程度打了8.8分,但Intel表示这个问题只相当于一个特权提升的缺陷。


漏洞赏金见闻——Akamai


同时,一位以Peter M为名的安全研究人员这个月展示他如何绕过运行Spring Boot的Akamai网站应用防火墙(WAF),这可能导致远程代码执行(RCE)。


他说,作为私人Bugcrowd项目的一部分,他努力尝试了500次和超过14个小时才找到一个入口点。


这次攻击是在Synack pentester Usman Mansha的协助下进行的,使用了Spring Expression Language(SpEL)注入。


漏洞赏金见闻——Intigriti


在其他的漏洞赏金新闻中,Intigriti表示,今年支付的金额几乎是去年的三倍,平均金额翻了一番。


该平台称,道德黑客越来越多地将猎取漏洞赏金视为全职工作,96%的人表示他们愿意花更多时间在这上面。最大的吸引力是金钱,还有在世界任何地方工作的能力,独自工作的能力,以及智胜网络犯罪分子的机会。


漏洞赏金见闻——Meta


Meta回顾了今年自己的漏洞赏金计划,审查显示Meta支付了超过200万美元,累计收到约10,000份报告,支付其中的750份报告。


Meta还发布了最新的移动RCE漏洞的支付指南,还有针对账户接管(ATO)和双因素身份验证(2FA)绕过漏洞的新支付准则。ATO报告的金额高达13万美元,移动RCE漏洞的金额高达30万美元。



漏洞赏金见闻——Immunefi

最后,针对web3的bug赏金和安全服务平台表示今年支付了不到6600万美元,其中最大的赏金达到1000万美元,是用于Wormhole(通用的跨链消息传递协议)中发现的一个漏洞。


关键漏洞以6100万美元的总支付额领先,占所有悬赏金的92.7%。


2023年1月的漏洞赏金计划

在过去的一个月里,出现了几个新的漏洞赏金项目。这里有一份最新的条目清单。

Axis Communications

计划提供者Bugcrowd
类型:公开
最高奖励:待定
注意事项:
视频监控厂商Axis Communication公司推出了一项漏洞赏金计划,以寻找其网络安全产品的漏洞,但不包括其2N产品。
备注:

Axis Communications公司尚未公布发现此类漏洞的支付奖励细节,但已经公布了如何使用CVSS方法对这些漏洞进行评分的细节。


Contentsquare

计划提供者: YesWeHack
类型: 公开
最高奖励:€2,500 ($2,670)
概要:
用户体验分析供应商Contentsquare推出了一项漏洞赏金计划,重点是寻找其移动软件开发工具包和收集端点的问题,详细情况列在其漏洞赏金页面。
注意事项:
Contentsquare要求道德黑客事先查阅范围内的主题清单,因为目标很具体。

Doppler

计划提供者:HackerOne
类型:公开
最高奖励:$2,500
概要:
Doppler自称是 "SecretOps平台开发者和安全团队所信赖的企业级的机密管理"。
注意事项:
同样,有多个领域需要探索,还有Doppler的源代码。有五个领域不在测试范围内。

Engel & Völkers Technology GmbH

计划提供者:HackerOne
类型:公开
最高奖励:$1,000
概要:
IT咨询公司Engel & Völkers Technology GmbH已将其域名开放给漏洞赏金猎人测试。
注意事项:
有超过10个领域可供攻击,从关键到中等严重程度不等。还有少数领域不在范围内,不能被测试。

Harman International

计划提供者:YesWeHack
方案类型:公开
最高奖励:$5,000
概要:
三星公司旗下的电子制造商Harman公司正在寻求与JBL设备相关的 "整个生态系统的加固 "方面的帮助。
注意事项:
共有16个目标,包括物理设备、网络APIS和应用程序,所以每个人都可以参与其中。

Moonpay

计划提供者:HackerOne
类型:公开
最高奖励:$20,000
概要:
加密货币交换平台Moonpay为多个领域的安全漏洞及其源代码提供巨额奖励。
注意事项:
有四个领域不在范围内,所以在进行之前应该检查这些领域。Moonpay还详细列出了不符合奖励条件的漏洞,所以也需要检查。

Navitas

计划提供者:Bugcrowd
方案类型:私密
最高奖励:$2,500
概要:
澳大利亚教育机构Navitas正在对其服务中可复制的漏洞进行漏洞奖励,奖励的标准是根据漏洞的严重程度。
注意事项:
虽然该公司总部设在澳大利亚,但奖励对全世界的道德黑客开放,并以邀请的方式进行。

Ooredoo

计划提供者:YesWeHack
方案类型:公开
最高奖励:$1,500
概述:
Ooredoo是一家卡塔尔电信公司,在国内和国际上为企业和家庭提供移动、无线、有线和内容服务。
注意事项:
对任何四个范围内的资产中的关键漏洞提供高达1,500美元的奖金,对高严重性的漏洞提供最高700美元的奖金。

OVO

计划提供者:YesWeHack
方案类型:公开
最高奖励:$3,000
概要:
印度尼西亚的支付、奖励和金融服务平台要求黑客在其四个移动和网络应用中找到漏洞,提供大量机会去进行奖励。
备注:
OVO已经明确指出,阶段化环境不在范围内,其他未在其漏洞赏金页面上具体列出的目标也不在范围内。

Swapcard

计划提供者:YesWeHack
方案类型:公开
最高奖励:€2,000 ($2,140)
概要:
Swapcard将自己描述为一个由人工智能驱动的活动应用程序和匹配平台,用于安全、政府和健康等领域举办活动。
注意事项:
有一个广泛的应用程序和API清单可以作为目标,所以这值得在开始之前检查一下。还要注意的是,Swapcard表示,如果有详细的漏洞报告,会比没有报告的更快获得奖励。

VFS

计划提供者:YesWeHack
方案类型:公开
最高奖励:$1,500
概述:
VFS为其客户政府管理与签证、护照和领事服务有关的行政和非评判性任务。
注意事项:
最高奖励是针对被认为是 "关键 "的漏洞。例子包括,但不限于,泄露签证申请人的个人身份信息,不安全的直接对象引用(IDOR)的问题,导致敏感的用户信息大量泄漏,以及可以自动完成用户注册流程的程序。

Yuga Labs

计划提供者HackerOne
方案类型:公开
最高奖励:$25,000
概要:
Yuga实验室为发现其web3平台的关键漏洞提供惊人的25,000美元。
注意事项:
该公司不仅要求报告其域名中的错误,而且还要求报告其Discord服务器中的错误。任何想攻击Discord服务器的人都需要先查看Yuga Labs的漏洞赏金页面上的单独政策。

原文链接🔗
https://portswigger.net/daily-swig/bug-bounty-radar-the-latest-bug-bounty-programs-for-january-2023


来源:The Daily Swig


行业洞察|漏洞赏金雷达//2023年1月最新的漏洞赏金计划


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com