|
注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 15506|回复: 0

[黑客新闻] bug赏金计划再没有免费的bug了

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
46719
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   638 小时
   最后登录
   2020-9-26
发表于 2020-2-5 22:26:11 | 显示全部楼层 |阅读模式
        去年,几个灰帽黑客-Charlie MiUer、Alex Sotirov和Dino Dai Zovi-公布了—个新的姿态:“再没有免费的bug了“。他们声称,虽然灰帽黑客在商业软件中发现了严重缺陷,但并没有从软件漏洞价值中得到回报。除了求助iDefense和ZDI之外,软件供应商自己的公司内还有负责找出和修复bug的雇员和顾问(“再没有免费的bug了”针对的是自己具有安全工程师雇员或顾问的商业软件供应商)。
    提出“再没有免费的bug了”的研究人员还声称,在将漏洞报告给供应商的时候,灰帽黑客也同时给自己带来了风险。在对发现的漏洞进行揭秘,他们没有得到法律保护,也就是说,他们不但是免费工作,:而且还可能让自己陷入法律纠纷中。另外,灰帽黑客经常无法联系到软件供应商公司中可以创建和发布补丁的人员。对于许多供应商来说,漏洞会损害他们的声誉,对他们的收入造成负面影响,所以他们会阻挠研究人员的举动,甚至采取一些恶劣的做法。虽然供应商们创建了负责任的漏洞公开指导原则让研究人员遵守,但却没有规定自己应该如何对待研究人员。
       这些研究人员还声称,软件供应商经常依赖他们来找出bug,而供应商自己在发现漏洞方面的投入却不够。现在的软件十分复杂,找出其中的缺陷需要大量的时间和高超的技巧,“再没有免费的bug了柏运动的发起人认为,要么供应商雇佣专门的人员来找出bug和确定修复措施,要么就应该对那些发现bug并以负责任的方式报告bug的灰帽黑客支付相应的报酬。
    这群灰帽黑客还呼吁在执行和报告软件缺陷时还应该有更多的法律条款对其进行规定和保护。在一些案例中,灰帽黑客发现了软件缺陷,但供应商却威胁他们要提起法律诉讼,以使他们保持沉默并避免业界发现这些缺陷。
    近年来,厂商已经采纳以前的一些政策,并作为bug赏金计划的一部分。如微软已经承诺不会起诉“负责任地提交潜在的在线服务安全漏洞”的研究人员。Mozilla启动“bug赏金计划’,为每个报告有效的严重漏洞的研究人员奖励500美元的费用,谷歌为在本地客户端发现最佳漏洞者提供现金奖励。相关组织甚至正计划对bug赏金计划发展商业计划。如Bugcrowd网站,为测试人员和希望对软件进行测试并支付费用的客户提供了一个交流的平台。
    尽管越来越多的软件厂商对漏洞报告(出于安全产品的市场需求)的应对越来越及时,大多数人仍然认为厂商不会花额外的金钱、时间和资源进行妥善处理,除非其必须对软件安全问题担负法律责任。未来软件供应商是否可能承担法律责任我们不得而知,但是这些问题在产业界中正势头趋大。
    零日计划(:ZDI)是另—个有偿进行漏洞披露的组织。ZDI为研究人员报告和跟踪漏洞提供了一个Web门户。他们会检查报告漏洞的研究人员的身份,包括检查研究人员没有在任何政府的“不要与其合作”的黑名单中出现。然后,ZDI在—个安全实验室中对bug进行验证,确认bug后,ZDI会支付研究人员并联系供应商。,ZDI还维护着一个入侵防御系统计划,为受到漏洞影响的客户群体编写过滤器。过滤器描述的目的是保护客户,但同时也足够模糊,不会将未打上补丁的缺陷的细节泄露出去。当补丁开发完成后,ZDI会与供应商协作来通知公众,如果研究人员提出要求,则会将漏洞的发现归功于他们。

        一旦踏上正义黑客之路,理解正义黑客和网络犯罪的异同就至关重要。有了这方面的知识,你可以更好地理解如何模拟此类恶意活动以通过现实基准来帮助评估安全环境。同时,理解这些业务流程相关的法律层面的相关知识以及任何适用的地方,州和联邦的法律也同样重要。
    本章揭示了为何理解恶意个体怎样运作是如此重要,以及正义黑客过程的步骤是如何与黑客攻击者的手段相映射。也提到了一些影响正义黑客的美国相关法律,包括DCMA和CFAA。在执行渗透测试之前,我们还仔细检查了地方法律,以确保它不会比联邦法律更严格。
    最后,阐明正义揭秘的重要性及如何正确进行揭秘的过程。有了这些信息,你就能清楚地知道,作为一名正义黑客应该如何在确保安全的前提下进行操作,以及当发现新漏洞时如何有效地回馈社区。

发表回复

您需要登录后才可以回帖 登录 | 注册会员 |

本版积分规则

快速回复 返回顶部 返回列表