Bug Bounty Radar // 2019年5月

辨别黑客beplay体育能用吗的新Web目标

众包安全是一个热门话题swig本月，bugcrowd首席执行官Ashish Gupta详细说话关于全球漏洞赏金市场的发展方式。

随着安全行业的不断发展，披露平台必须随着时代的发展而移动 - “游戏规则正在彻底改变，”古普塔说。

别处，微软Redmond的Bug Bounty计划的高级计划经理Jarek Stanley与The经济时期。

斯坦利打开关于微软对漏洞赏金的态度，并补充说，该公司认为其协调的漏洞披露计划是保护客户免受零日攻击的最佳防御。

在Google I/O会议本月，研究人员Artur Janc和Lukas Weichselbaum讨论了这家技术巨头自己的脆弱性奖励计划。

他们透露在Google收到的总体报告的35％中，跨站点脚本（XSS）是Bug Bounty Hunters发现的第一大安全漏洞。

最后，研究员罗扬·里贾尔（Rojan Rijal）分享了漏洞赏金成功故事这个月。

Rijal，您可能还记得发现的这个Google XSS利用，告诉他的Twitter追随者，他已经使用Bug Bounty计划获得的奖励成立了他的第一家公司。

他命名为Bugcrowd，Hackerone和Google，感谢他们帮助他实现目标。

梅看到了几个新的Bug Bounty计划的到来。这是最新目标的综述：

始终达塔

计划提供商：
独立的

程序类型：
公共漏洞赏金

最大奖励：
€500（$ 558）

大纲：
托管提供商EwlansData已启动了自己的错误赏金计划，要求研究人员在其网站和相关应用程序上寻找错误。beplay体育能用吗对于关键漏洞，支付了最大奖励，包括在读取或阅读写入模式下访问核心平台体系结构。

笔记：
严格禁止任何类型的拒绝服务（DOS）攻击，以及任何干扰网络设备和始终达到基础架构。

参观ewanspata bug赏金页面有关更多信息

链环

计划提供商：
hackerone

程序类型：
私人错误赏金

最大奖励：
$ 4,000

大纲：
链条节点及其智能合约是该计划的核心重点。GitHub存储库上的所有智能合约都处于范围内，如果通过创建链链接请求找到错误，将授予奖金。

笔记：
再次禁止任何类型的DOS攻击，社会工程攻击或任何需要中间人或物理访问设备的攻击。

参观Chainlink Bug Bounty页面在Hackerone获取更多信息

Gnosis

计划提供商：
独立的

程序类型：
公共漏洞赏金

最大奖励：
$ 10,000

大纲：
以太坊（ETH）钱包提供商Gnosis正在为最近修订的荷兰人分散交易协议的智能合约运行一个漏洞赏金计划。所有虫子都被考虑用于赏金，gnosis状态。可能导致窃取资金，令牌或木兰（MGN）的攻击将被视为高威胁，并且有资格获得最大奖励。

笔记：
所有奖励将以ETH支付。Gnosis说：“此外，我们还将为MGN Pool提供价值5,000美元的ETH和价值5,000美元的GNO，以激励黑客攻击它。”

参观Gnosis博客有关更多信息

OKCoin

计划提供商：
独立的

程序类型：
公共漏洞赏金

最大奖励：
8-10 ETH - 根据当前价值最高$ 2,550

大纲：
交易平台OKCoin将奖励具有加密货币的安全研究人员，以换取一系列漏洞。在严重的末尾，它规定了“危害用户资产和数据安全性的核心业务系统中的漏洞”是有资格获得最高支出的。

笔记：
研究人员应将这些错误直接报告给公司的安全响应团队，如果符合条件，该错误将将资金存入Finder的帐户中。

参观OKCoin博客有关更多信息

Soundcloud（增强）

计划提供商：
bugcrowd

程序类型：
公共漏洞赏金

最大奖励：
$ 1,500

大纲：
流行的音乐流媒体平台本月将其私人的Bug Bounty Program公开吸引，为其网站，API和移动应用程序中发现的漏洞提供奖励。beplay体育能用吗

笔记：
该程序的主要重点属于远程代码执行（RCE），XSS，帐户收购以及无需支付的独家内容访问等等。

参观SoundCloud Bug Bounty页面在Bugcrowd获取更多信息

鱿鱼缓存（IBB）

计划提供商：
hackerone

程序类型：
公共漏洞赏金

最大奖励：
$ 12,000

大纲：
Squid是支持HTTP，HTTP，FTP等网络的缓存代理。beplay体育能用吗与Dropbox合作，该计划将支付评级为“关键”或“高”的漏洞，包括RCE，Squid代理过滤中的旁路以及URL解析漏洞，并具有可证明的安全性影响。

笔记：
该公司表示：“这些赏金是我们对承担这一挑战的安全研究人员表示'感谢'的方式。”

参观鱿鱼缓存错误赏金页面在Hackerone获取更多信息

Vechainthor VIP191

计划提供商：
防盗

程序类型：
公共漏洞赏金

最大奖励：
$ 10,000

大纲：
Vechain正在其多方支付协议VIP191中寻找可能的漏洞，该协议允许共同信号代表发件人支付交易。

笔记：
Vechain指出，它正在寻找与交易或消息可锻造性有关的错误，以及可能影响协议的其他漏洞或可行的攻击向量。

参观Vechain Bug Bounty页面在Hackenproof中获取更多信息

扎伊姆

计划提供商：
bugbounty.jp

程序类型：
公共漏洞赏金

最大奖励：
¥132,000（$ 1,200）

大纲：
家庭会计服务Zaim已在其网站和移动应用程序上开设了有关漏洞的计划。beplay体育能用吗较高的奖励将被授予跨站点伪造攻击，RCE，SQL注入和其他关键漏洞。

笔记：
有很多不符合赏金的错误列表，包括通过自动扫描或工具发现的漏洞，因此值得事先检查页面。

参观Zaim Bug Bounty页面在bugbounty.jp上获取更多信息

其他Bug Bounty和VDP新闻：

• 零一天的主动性通过调整一些规则，添加新目标以及增加奖励到超过200万美元。
• 一个独立的学术研究希望与研究人员保持联系，以了解挑战和动机在成为虫子赏金猎人的背后。
• bugcrowd揭示这些意见物联网设备中的错误同比增长了383％。数据还表明，2019年第1季度的平均支出为每个漏洞2,320美元，增长了78％。
• 阿特拉斯利亚人宣布已采用安全港口条款在其计划规则中，承诺研究人员对对企业内目标进行的任何测试都不会导致起诉。
• 和披露平台intigriti正在提供赢得Burp Pro许可证，赃物和私人虫子赏金邀请的机会。您要做的就是找到XSS这里。

要在下个月的此列表中出现，请发送电子邮件dailyswig@beplay官网可以赌www.muteki-anime.com主题行中的“漏洞雷达”

有关的虫子赏金雷达// 2019年4月