热搜
您的位置:首页 >> 游戏

360SyScan国际安全会议分享漏洞奖

2019年05月14日 栏目:游戏

谷歌自推出漏洞嘉奖机制以来便受到安全行业瞩目,360也在国内首家推出为漏洞报告者提供现金奖励的机制。12月13日,在360SyScan国际安

谷歌自推出漏洞嘉奖机制以来便受到安全行业瞩目,360也在国内首家推出为漏洞报告者提供现金奖励的机制。12月13日,在360SyScan国际安全会议上,谷歌安全专家Kevin发表题为《Google漏洞嘉奖计划经验分享》的主题演讲,并在现场详细讲解了漏洞发掘以及嘉奖机制。

资料显示,漏洞奖励计划是谷歌专门为发现Google软件及产品漏洞发现者而设的嘉奖计划,漏洞发现者将获得谷歌支付的现金嘉奖以及其他额外鼓励。谷歌尔后还推出Chrome浏览器漏洞奖励计划。这些漏洞奖励计划吸引了全球安全爱好者的关注,也帮谷歌公司大幅提升了产品及服务的安全性。

我们不会支付钱去修复漏洞,Kevin称谷歌漏洞嘉奖机制不是去买Bugs,而是奖励用户在寻觅漏洞时花费的时间。Kevin表示,谷歌漏洞的范围不包括DoS、Corp infrastructure、SEO blackhat以及Acquisitions(if6 months)的攻击。

那么究竟甚么才是谷歌在寻找的漏洞呢?Kevin详细介绍验证合格漏洞的四大步骤:合理的通知,私下的信息表露,适当的测试,个提出的、的解决。通过验证分析漏洞,谷歌将给予用户相应的奖励。

Kevin笑称,并不是所有的漏洞报告都由技术人员发来,普通的民也会参与到寻找漏洞的娱乐的进程中去。据介绍,有用户冒着信用卡被刷爆的风险去寻找谷歌免费电影的漏洞,而谷歌为找个漏洞支付1337美元,希望该用户能够还清信用卡。

Kevin表示,85.2%的漏洞由新人发现,仅14.8%的漏洞由老用户发现,而且是前20%的人发现了80%的漏洞。但谷歌漏洞嘉奖机制也面临一些挑战。Kevin表示,谷歌经常会接到一些劣质报告,需要处理枯燥的文字,为分类和管理消耗大量的资源,而且一些人不喜欢为金钱而找Bug,或是有人希望用非Bug来获得奖金,这让谷歌漏洞奖励机制受到部分人的质疑。

谷歌、Facebook等国外互联公司漏洞奖励计划正趋于成熟,在国内,则仅有360公司为漏洞报告者提供现金嘉奖。此前,360安全漏洞响应平台推出漏洞嘉奖方案,按照漏洞类型、影响范围等因素设置奖励额度,迄今已发出数万元奖金。该项措施,也使360产品能够更快速响应漏洞威胁,通过汇集业界高手的力量,不断提升产品安全性。

怎么样治疗宫颈炎
怎么治疗好盆腔炎
经期不准吃什么药