暗网-Bug赏金雷达 // 2023年三月最新的Bug赏金项目

暗网bug 赏金

比利时成为道德黑客的天堂,全国范围内的安全港协议上个月正式生效。

这一框架意味着,只要遵守一系列严格的条件和行为规范,善意的安全研究人员在向比利时境内的任何系统报告计算机安全漏洞时,就不会面临法律风险。

这些指导方针由比利时网络安全中心公布,适用于私营和公共部门的组织。比利时在这方面走在了前沿,希望这一计划能够激励其他国家效仿,以及企业推出自己的漏洞披露计划。

在与Bug赏金相关的不那么友好的新闻中,独立研究人员Peter Geissler公开了一组影响Lexmark打印机的漏洞细节,而不是接受他认为微不足道的奖励。这些安全漏洞可以被串联起来发起远程代码执行攻击,目前已经得到修复。

另一个研究人员对Bug赏金条件不满的例子是,在分析师Gartner的一个营销小部件中发现了一个网络安全漏洞。

安全研究人员Justin Steven想要撰写Gartner Peer Insights小部件中一个基于DOM的跨站脚本漏洞的技术细节,但是分析公司警告他,这违反了私人Bug赏金计划的规则。

Steven还是公开了漏洞的技术细节,尽管这意味着他放弃了发现奖励。

当一个流行的黑客工具XSS Hunter的新主机披露了使用其版本的工具发现的漏洞的匿名统计数据时,引发了一场戏剧性的事件。Truffle Security遭到了安全研究人员的隐私反对,他们不满它似乎在“窥探他们的肩膀”并查看他们的发现。

为了回应批评,Truffle Security开始为使用其版本XSS Hunter的安全研究人员提供端到端加密作为一个选项。

2023年三月最新的Bug赏金项目 过去一个月,有几个新的Bug赏金项目出现了。

以下是最新的列表:

ATG(增强版) 项目提供方: YesWeHack

项目类型: 公开

最高奖励: $4,000

概要: ATG提高了中等、高等和严重漏洞的奖励,并扩大了范围,包括.atg.se及其子域名。ATG是一家专注于赛马的瑞典游戏公司。

查看ATG Bug赏金页面了解更多详情

Bybit 项目提供方: Bugcrowd

项目类型: 公开

最高奖励: $20,000

概要: 这家加密货币交易所为最高级别的严重漏洞支付$5,000至$20,000的奖励。唯一在范围内的目标是bybit.com。

查看Bybit Bug赏金页面了解更多详情

Grindr 项目提供方: Bugcrowd

项目类型: 公开

最高奖励: $4,000

概要: 这款基于位置的社交和约会应用,面向LGBTQ社区,将RCE、在生产数据库上执行任意SQL查询和重大身份验证绕过漏洞列为潜在的严重漏洞。

查看Grindr Bug赏金页面了解更多详情

Linktree 项目提供方: Bugcrowd

项目类型: 公开

最高奖励: $7,500

概要: 澳大利亚社交媒体工具Linktree,在全球拥有3000万用户,它将“大部分”资产纳入了Bug赏金计划的范围。

查看Linktree Bug赏金页面了解更多详情

Malwarebytes 项目提供方: HackerOne

项目类型: 公开

最高奖励: $2,000

概要: 这家反恶意软件公司为确认的漏洞提供$50至$2,000的奖励。对Malwarebytes的网络属性或运行其端点保护软件的客户造成RCE风险,或导致AWS云基础设施被接管的漏洞,将获得最高的奖励。

查看Malwarebytes Bug赏金页面了解更多详情

Miro 项目提供方: HackerOne

项目类型: 公开

最高奖励: $3,000

概要: 这个协作白板平台提供高达$3,000的奖励。不在范围内的资产包括Miro for Jira Cards,Miro for Confluence和Miro for Jira Cloud。

查看Miro Bug赏金页面了解更多详情

Ninja Kiwi Games 项目提供方: Intigriti

项目类型: 公开

最高奖励: $3,750

概要: 这家总部位于新西兰的视频游戏开发商,在2021年成功推出第一个Bug赏金计划后,又推出了第二个Bug赏金计划。Ninja Kiwi Games创造了Bloons、Bloons TD和SAS: Zombie Assault系列。

查看Ninja Kiwi Games Bug赏金页面了解更多详情

QNAP 项目提供方: 独立

项目类型: 公开

最高奖励: 未公布

概要: QNAP,台湾网络附加存储设备制造商,邀请黑客探测其操作系统、应用程序和云服务中的漏洞。

查看QNAP Bug赏金页面了解更多详情

Skinport 项目提供方: HackerOne

项目类型: 公开

最高奖励: $6,000

概要: Skinport,一个数字游戏物品的市场,推出了一个奖励计划,针对那些能够打开交易或购买操纵之门的严重漏洞。导致未经授权访问项目服务器或泄露机密数据的漏洞也在范围内。

查看Skinport Bug赏金页面了解更多详情

Spin by OXXO 项目提供方: YesWeHack

项目类型: 公开

最高奖励: $3,000

概要: 在范围内的是Spin的API以及iOS和Android移动应用程序,Spin是墨西哥便利店连锁Oxxo的一款金融科技应用和支付卡。

查看Spin by OXXO Bug赏金页面了解更多详情

Xdefi Technologies 项目提供方: HackerOne

项目类型: 公开

最高奖励: $5,000

概要: Xdefi,一个跨链加密货币和NFT钱包扩展,将Xdefi Extension(Chromium网络扩展)和应用程序纳入了范围内的资产,奖励根据CVSS(通用漏洞评分标准)的严重性确定。

本月其他Bug赏金和VDP新闻

谷歌扩展了其OSS Fuzz代码测试服务,提升了其奖励计划,并增加了项目涵盖的计算语言的数量。 这家搜索引擎巨头还支付了有史以来最高的Bug赏金——价值可能改变人生的500,000英镑(605,000美元)——用于一个与Android相关的漏洞。谷歌对漏洞的细节保持沉默,但ITPro已经缩小了可能性的范围。 英特尔报告称,去年它支付了935,000美元的Bug赏金。这家芯片巨头的英特尔产品安全报告(pdf)称,它在2022年处理了243个漏洞,其中90个是由安全研究人员发现并通过其Bug赏金计划报告的。该供应商“去年与151名研究人员合作,比前三年增加了一倍多”,Security Week报道。 YesWeHack博客上一篇由安全研究人员BitK和SakiiR撰写的深入文章,提供了一个关于检测和利用JavaScript中原型污染漏洞的技术视角。这项研究基于Portswigger的Gareth Heyes早期的关于检测服务器端原型污染类型安全漏洞的工作。 安全研究人员Mike Takahashi在Twitter上发表了一个关于如何利用AI驱动的聊天机器人,如ChatGPT,来协助Bug赏金猎人的话题。Takahashi的这个社交媒体“头脑风暴”是可能成为一个持续系列的第二部分

推荐阅读:

DDOS攻击原理和如何进行防御

179人因暗网贩毒被警方逮捕

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20