自三个月前开始以来,已提交了60多个有效报告
德国武装部队(“ Bundeswehr”)报告说,其最近发起的漏洞披露计划有前途的开端(VDPBW)。
尽管没有付费漏洞赏金奖励,但在该计划发布后的13周内,有30多位安全研究人员提交了超过60个有效漏洞。每日swbeplay2018官网ig。
这些有包括跨站脚本((XSS),SQL注入,配置错误,数据泄漏和打开重定向错误。
于2020年10月推出,VDPBW适用于属于德国武装部队各种军事部门和民事行政当局的面向互联网的IT系统和Web应用程序。beplay体育能用吗
不是为了盈利
’Secuninja’,目前在第17位开放虫赏金大厅名人堂,在VDP到位之前,已将漏洞报告给联邦政府。
德国安全研究人员告诉每日swbeplay2018官网ig他们“对联邦机构的安全姿势感到好奇”,并补充说:“一个很好的指标是他们的网站,所以这是我开始并成功发现一些漏洞的地方。”beplay体育能用吗
德甲的“友好且非常专业的沟通”鼓励研究人员继续探索其申请,尽管缺乏经济激励。
Bundeswehr Ciso少将JürgenSetzer将军
“我们中的一些人不仅是以利润为导向的,而且是出于好奇或学习的侵犯。
“我处于幸运的境地,我可以闯入娱乐,并为事业牺牲时间。当然,如果您发现自己感兴趣的技术总是会更有趣。”
也没有因缺乏漏洞赏金而感到不安Marcus Mengs,Raspberry Pi USB攻击框架P4WNP1的创建者,以前称赞德国国防部以快速修复拒绝服务缺陷(PDF)他通过beplay体育能用吗网络缓存中毒。
他告诉每日swbeplay2018官网ig。
“我测试了各种目标,这些目标要么运行VDP,要么接受漏洞报告以提高安全性。”
虫子赏金批评
尽管该计划是吉祥的开端,但德国德国德国网络和信息域服务总部(Kdocir)的发言人克里斯托夫·保罗(Christoph Paul)表示,有些方面的批评是关于缺乏臭虫赏金的批评。
他告诉他说:“足够的财务奖励仍然将在为我们作为公共联邦组织的给定框架内的漫长过程中,在我们的漫长过程中解决许多正式,法律和财务挑战。”每日swbeplay2018官网ig。“我们不想等待那么久。”
相比之下,与建立无赏金的VDP有关的“正式或法律方面”很小。
顺便说一句最近的采访和每日swbeplay2018官网ig,美国虫子猎人汤米·德沃斯(Tommy Devoss)描述了VDPBW的同样无赏金的美国同行,美国国防部hackerone上的VDP,作为新手虫子猎人的理想训练场,由于使用的技术广度。
保罗说,德国国防军利用其“向国家和国际网络社区的广泛正式和非正式联系”起草了其政策。
德甲联赛的CISO,尤尔根·塞策少将,也反映了该计划的开发,以发布有关Bundeswehr网beplay体育能用吗站在十二月。
