Pénzzel ösztökéli az etikus hackereket a WordPress

​A WordPress csapata úgy határozott, hogy minden lelkes biztonsági kutató számára elérhetővé teszi a jutalmazási programját.
 
hirdetés
A WordPress valamivel több mint fél évvel ezelőtt elindította a bug bounty programját azzal a céllal, hogy etikus hackerek segítsenek számára fényt deríteni a sérülékenységekre, amiket aztán a fejlesztők még azelőtt ki tudnak javítani, mielőtt a kiberbűnözők is felismernék a kínálkozó lehetőségeket.
 
Ez a jutalmazási program zárt körű volt. Egészen eddig, ugyanis a WordPress biztonsági szakemberei úgy látták, hogy hasznos a kezdeményezés, és azt érdemes szélesebb körben elérhetővé tenni. Így most már minden biztonsági kutató a szabályok betartása mellett keresheti, jelentheti a sebezhetőségeket, és várhat mindezért cserébe némi anyagi ellenszolgáltatást. Ennek pontos összegét a WordPress nem közölte, mindössze annyit árult el, hogy eddig hét kutatót jutalmazott összesen 3700 dollárral. Vagyis az átlagos jutalom mértéke 500 dollár környékén alakul.
 
A HackerOne platform bevonásával indított program keretében a széles körben elterjedt WordPress CMS mellett néhány egyéb nyílt forráskódú projekt (BuddyPress, bbPress, GlotPress stb.) is része a kezdeményezésnek. Sőt a WordPress.org (illetve aldomainjei), a WordCamp.org, a BuddyPress.org, a WordPress.tv, a bbPress.org és a Jobs.WordPress.net weboldalak kapcsán feltárt biztonsági rendellenességek bejelentői is részesülhetnek elismerésben.
 
A WordPress biztonsági csapata elsősorban XSS, CSRF, SQL injection, valamint jogosulatlan kódfuttatásra lehetőséget adó sebezhetőségek kapcsán várja a jelentéseket. A bejelentőknek részletesen ismertetniük kell a sérülékenységeket, és az azok kihasználására alkalmas exploit kódokat is át kell adniuk elemzésre. Emellett a szakemberek azt kérik, hogy a hibák felfedezői adjanak elég időt a fejlesztőknek a biztonsági rések befoltozására, mielőtt nyilvánosságra hoznák a felfedezéseiket.
Vélemények
 
  1. 3

    Az IBM WebSphere Application Server újabb frissítése egy adatszivárgásra módot adó biztonsági rést foltoz be.

  2. 3

    A Cacti esetében egy XSS-alapú károkozásokra lehetőséget adó hibára derült fény.

  3. 1

    A Shadowpad trójai rendszerinformációk kiszivárogtatásával, illetve kártékony kódok terjesztésével segíti a kiberbűnözőket.

hirdetés
Partnerhírek
Adatokat gyűjt az ingyenes Disney mobiljáték

Aggódó szülők egy csoportja pert indított a Disney ellen az Amerikai Egyesült Államokban: a vád, hogy 43 ingyenes mobilos játékuk titokban adatot gyűjt a gyermekekről.

Ne gépelj az internetes megbeszélések alatt!

Az online értekezletek alatt sokan nem teszik le egyéb munkájukat, hanem tovább folytatják az e-mailek és dokumentumok gépelését, ami biztonsági kockázatot is rejt.

hirdetés
Közösség
1