由NSS Labs经营的渗透测试网站ExploitHub宣布了一项漏洞赏金计划,供研究人员针对Microsoft和Adobe产品中的12个高价值漏洞开发漏洞利用程序。ExploitHub在10月5日的公告中说,渗透测试网站在Microsoft Internet Explorer和Adobe Flash Player中识别出ldquo;肮脏的rdquo;几十个客户端漏洞,并提供了总计4,400美元的可利用漏洞。参与研究的人员将通过网站提交漏洞利用,以获取个人奖励,金额从100美元到500美元不等。研究人员还保留在市场上出售这些漏洞以赚取额外收入的权利。
影响典型的企业网络,错误不是零天,并且已被先前披露。漏洞利用必须是可导致远程代码执行的客户端远程漏洞利用,并且必须针对以下漏洞,这些漏洞由其常见漏洞和披露(CVE)编号标识:CVE-2011-1256,CVE-2011-1266, CVE-2011-1261,CVE-2011-1262,CVE-2011-1963,CVE-2011-1964,CVE-2011-0094,CVE-2011-0038,CVE-2011-0035,CVE-2010-3346,CVE- 2011-2110和CVE-2011-0628。
NSS Labs首席执行官Rick Moy说:ldquo;客户端攻击是现代攻击的首选武器,包括鱼叉式网络钓鱼和所谓的APT(高级持续性威胁)。安全专业人员需要跟上。rdquo; ldquo;该计划旨在加速测试工具的开发,并帮助研究人员通过做好事来做好。rdquo;
根据程序规则,导致拒绝服务的利用程序将不符合本程序的资格,也无法在Metasploit或其他利用程序工具包中使用。
在软件供应商之间,悬赏仍有争议。Mozilla和Google定期向研究人员付款,以披露其产品中的漏洞。
实际上,Google针对其Chrome Web浏览器的最新更新包括七个ldquo;高风险rdquo;安全漏洞,这些漏洞使Windows,Mac OS X和Linux用户受到恶意攻击。Google向研究人员支付了10,000美元,以解决其中的5个错误,赏金范围从1,000美元的文本处理问题到4,500美元的ldquo;事后抢救rdquo;缺陷。研究人员谢尔盖middot;格拉祖诺夫(Sergey Glazunov)仅在这次Chrome更新中就赚了8,000美元。
Mozilla基础设施安全高级经理Michael Coates在9月23日举行的OWASP AppSec USA会议上的讲话中说,自2010年12月启动Web赏金计划以来,Mozilla已经支付了104,000美元的奖励。浏览器及其Web属性的子集。根据Coates于9月27日在网上发布的OWASP演示文稿的幻灯片,在自程序启动以来提交给Mozilla的175个错误中,只有64%实际上有资格获得奖励。
根据严重性,研究人员可获得最高3,000美元的错误赔偿。此外,60%的错误是跨站点脚本缺陷,10%是跨站点请求伪造。支付的钱中有将近75%用于价值3,000美元的高优先级错误。
另一方面,微软和Adobe放弃了奖励计划。Adobe产品安全和隐私高级总监Brad Arkin告诉eWEEK,Adobe认为提供漏洞赏金并不能真正帮助公司保护客户。取而代之的是,Adobe建立关系以吸引研究人员作为承包商来测试和发现漏洞。通过这种方式,该公司可以为研究人员提供适当的工具和工作环境,阿金说。
微软没有在今年的黑帽安全大会上发起ldquo; 蓝帽 rdquo;竞赛,以鼓励研究人员开发缓解技术,以防止攻击者利用内存漏洞来奖励研究人员发现漏洞。该公司将在Black Hat 2012上宣布获奖者并颁发25万美元的现金奖励。
Arkin说,他有兴趣了解Blue Hat如何发挥作用,以确定是否可以为Adobe采用这种模型。