شرکت موزیلا مجدداً برنامه‌ی پاداش در ازای اشکال خود را راه‌اندازی کرد

شرکت موزیلا روز پنج‌شنبه اعلام کرد که برنامه‌ی پاداش در ازای اشکال خود را برای امنیت سرویس‌های مبتنی بر وب مجدداً راه‌اندازی کرده است. در حال حاضر به نفوذگران کلاه سفید اعلام شده است برای کشف هر نوع از آسیب‌پذیری‌ها قرار است چقدر جایزه به آن‌ها تعلق بگیرد.

موزیلا از سال ۲۰۰۴ میلادی برنامه‌ی پاداش در ازای اشکال خود را راه‌اندازی کرده است. در وهله‌ی اول این برنامه صرفاً بر روی نرم‌افزار موزیلا انجام می‌شد ولی پس از سال ۲۰۱۰ میلادی، سرویس‌های مبتنی بر وب این شرکت نیز تحت پوشش قرار گرفت. این شرکت اعلام کرده از سال ۲۰۱۰ میلادی به بعد نزدیک به ۱.۶ میلیون دلار به محققان و نفوذگران کلاه سفید جایزه پرداخت کرده است ولی در ارتباطات خود متوجه شده مسائلی در کشف اینکه چه نقاطی بسیار آسیب‌پذیر هستند، بوجود آمده است.

یکی از مهندسان امنیتی موزیلا توضیح داد: «یک آسیب‌پذیری فرضیِ تزریق SQL در Bugzilla نسبت به آسیب‌پذیری اسکریپت بین-وب‌گاهی (XSS) سطح متفاوتی از آسیب‌پذیری‌ها را برای موزیلا نمایش می‌دهد. کاشفان آسیب‌پذیری به این مسئله که نوع و سطح آسیب‌پذیری چیست توجهی نمی‌کنند. آن‌ها صرفاً می‌خواهند بدانند برای یک آسیب‌پذیری مشخص بر روی یک وب‌گاه چقدر جایزه قرار است دریافت کنند.»

شرکت موزیلا تصمیم گرفته تعداد وب‌گاه‌ها و نوع آسیب‌پذیری‌هایی که قرار است پوشش داده شود را گسترش دهد و اعلام کرده با مشخص کردن جزئیات پرداختی‌ها به هر آسیب‌پذیری تا حدودی شفافیت را در برنامه‌ی پاداش در ازای اشکال خود افزایش داده است. به‌طور مثال اگر محققی بر روی یکی از وب‌گاه‌های حیاتی یک آسیب‌پذیری اجرای کد از راه دور کشف کند، می‌تواند ۵ هزار دلار جایزه بگیرد در حالی‌که این مقدار برای آسیب‌پذیری تزریق SQL و یا دور زدن احراز هویت برابر با ۳ هزار دلار است. برای دیگر آسیب‌پذیری‌ها مانند CSRF و XSS و XXE سقف جایزه‌ای که در نظر گرفته شده ۲۵۰۰ دلار است.

مهندس موزیلا در توضیحات خود اشاره کرد ارائه‌ی جزئیات جوایز به محققان و نفوذگران کلاه سفید کمک می‌کند تا باتوجه به پرداختی‌ها زمان و تلاش خود را به کار بگیرند و بدانند با گزارش آسیب‌پذیری مشخص واقعاً چقدر قرار است جایزه دریافت کنند.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.