Tạo bài viết
Đăng ký
17/09/2018, 19:50

Twitter ra mắt chương trình Bug Bounty thông qua HackerOne

Một nỗ lực cảm ơn các nhà nghiên cứu đã có trách nhiệm thông báo lỗ hổng bảo mật, Twitter đã giới thiệu một chương trình báo lỗ hổng và nhận tiền thưởng thông qua HackerOne. Các chuyên gia bảo mật đã báo cáo hàng chục lỗ hổng Twitter trong vòng ba tháng qua thông qua HackerOne. Một chương trình ...

Một nỗ lực cảm ơn các nhà nghiên cứu đã có trách nhiệm thông báo lỗ hổng bảo mật, Twitter đã giới thiệu một chương trình báo lỗ hổng và nhận tiền thưởng thông qua HackerOne.

Các chuyên gia bảo mật đã báo cáo hàng chục lỗ hổng Twitter trong vòng ba tháng qua thông qua HackerOne. Một chương trình Bug Bounty mới của Tiwtter sẽ được áp dụng cho những người báo cáo các lỗ hổng trên Twitter.com và tên miền phụ, Twitter trên Android, Twitter trên iOS. Mức thưởng tối thiểu là 140 đôla. Mức thưởng tối đa không được đưa ra, các công ty lớn khác thường chi hàng chục ngàn đôla cho một vấn đề an ninh nghiêm trọng .

Số tiền thưởng có thể thay đổi tùy thuộc vào mức độ nghiêm trọng của lỗ hổng được báo cáo. Twitter sẽ quyết định số tiền thưởng. Đây không phải là một cuộc thi, phần thưởng có thể được cung cấp liên tục miễn là chương trình này còn hoạt động. Các nhà nghiên cứu sẽ không nhận được bất kỳ tiền thưởng khi báo cáo các lỗ hổng được tìm thấy trên các lĩnh vực khác của Twitter và các ứng dụng khác so với đề cập ở trên, nhưng họ sẽ được thấy tên mình trên bảng vinh danh của công ty.

Có bốn điều kiện chính mà người báo cáo lỗ hổng bảo mật phải đáp ứng được:

  1. Không phải là cư dân của các quốc gia như Syria hay Bắc Triều Tiên
  2. Không được công bố công khai kết quả nghiên cứu trước khi Twitter tung ra bản vá
  3. Phải là người đầu tiên phát hiện ra lỗ hổng
  4. Lỗ hổng phải nằm trong danh sách các lỗ hổng đủ điều kiện trao thưởng.

Các loại lỗ hổng đủ điều kiện cho chương trình nhận thưởng là cross-site scripting (XSS), cross-site request forgery (CSRF), thực thi mã từ xa (RCE), truy cập trái phép hoặc trực tiếp vào các tin nhắn và truy cập trái phép vào các tweet được bảo vệ.

Các nhà nghiên cứu khuyên nên sử dụng tài khoản thử nghiệm, và hạn chế không gửi thư rác.  Không nên phát động tấn công từ chối dịch vụ vào hệ thống hoặc thực hiện bất kỳ hành động khác có tác động tiêu cực đến khách hàng. Twitter cũng sẽ loại bỏ các trường hợp được nhận thưởng: khi người cảnh báo là các kĩ sư thuộc Twitter, các hình thức tấn công vật lý, lỗ hổng chỉ ảnh hưởng đến người sử dụng phần mềm đã lỗi thời, các báo cáo chưa được xác minh từ các công cụ tự động.

Thông tin thêm về chương trình báo cáo lỗi nhận tiền thưởng của Twitter đã có sẵn trên HackerOne.

Securityweek.com

Tạ Quốc Bảo

23 chủ đề

7270 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024