비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (12 월 2024)
전 세계에 퍼져있는 소프트웨어 게시자라고 가정 해보십시오. 악의적 인 사용자가 개인 정보를 훔치거나 대상 PC를 원격으로 제어 할 수있는 제품 중 하나의 보안 허점은 광범위한 결과를 초래할 수 있습니다. 누군가 그러한 허점을 발견했다면 사이버 범죄 암시장에서 정보를 판매하는 것보다 그 사실에 대해 이야기하는 것을 선호 할 것입니다. "버그 바운티"프로그램은 현금, 명성 또는 둘 다로 보안 허점을 발견 한 사람들에게 보상함으로써 이러한 종류의 공유를 장려하는 것이며, 여러분이 알고있는 것보다 더 일반적입니다.
바운티 풍부
야후의 버그 현상금 프로그램은 이번 주 초 뉴스를 만들었다. 스위스의 한 연구자들은 야후 웹 사이트에서 세 가지 심각한 크로스 사이트 스크립팅 버그, 공격자가 피해자의 야후 이메일 계정을 인계 할 수있는 보안 취약점을 찾아 내서 시작했다. (이러한 버그를 찾는 데는 하루가 걸렸습니다. 보고서를 확인한 후 Yahoo는 회사 상점에서 스왑 할 수있는 각 버그 당 $ 12.50를 제공했습니다.
그상은 많은 사람들에게 치명적인 것처럼 보였다. 이 보고서의 반발은 야후가 이미 작업중인 변경 사항을 발표 할만큼 충분히 중요했습니다. 새로운 버그 현상금 프로그램은 $ 150에서 $ 15, 000 사이의 금액으로 스왑이 아닌 현금으로 검증 된 버그를보고하는 연구원에게 정확한 사전 정의 된 공식에 의해 결정된 정확한 금액을 보상합니다. 새 프로그램은 이달 말까지 시행 될 예정이지만 7 월 1 일부터 소급 적용됩니다.
뭔가 가치가있는 보안 허점을 발견했다고 생각하십니까? bugcrowd 웹 사이트에는 현재 버그 현상금 프로그램이 모두 포함되어 있으며 보상, 명성 + 스왑, 명예 또는 보상 없음을 제공하는 프로그램으로 구분합니다. 해당 제품 또는 서비스에 대한 링크를 클릭하여보고 페이지를 방문하십시오.
예를 들어 Facebook은 사전 설정된 최대 값없이 최소 $ 500의 현상금을 제공합니다. 8 월 현재, Facebook은 그러한 현상금으로 백만 달러 이상을 지불했습니다.
확인 된 버그에 대한 Google 지불금은 잘 정의 된 값 표를 따릅니다. 우선 순위가 낮은 Google 사이트의 일반적인 웹 결함은 100 달러에서 매우 민감한 서비스의 원격 코드 실행 취약점은 20, 000 달러입니다. "연설하다"고개를 끄덕이는 일부 유형에는 $ 1337 보상이 제공됩니다.
마이크로 소프트는 다르다
Microsoft는 보안을 강화하는 작업에 연구원에게 10 만 달러 이상을 제공하지만 Microsoft 프로그램은 버그 현상이 아닙니다. Microsoft Trustworthy Computing의 수석 보안 전략가 인 Katie Moussouris가 그 차이점을 설명했습니다.
Moussouris는 "Microsoft의 10 만 달러 완화 우회 바운티 (Minit Bypass Bounty)는 참가자들이 최신 Windows 플랫폼에 대해 참으로 새로운 공격 기법을 제출해야하므로 플랫폼 차원의 방어 기능을 향상시킬 수 있습니다. 새로운 취약성 공격 기법은 개인의 취약점보다 발견하기가 더 어렵습니다. 한 번에 하나의 취약점을 해결하는 대신 도약으로 보안을 향상시키기 위해 전체 공격 클래스로부터 고객을 보호 할 수 있습니다. " 그녀는 "연구원이 현상금 프로그램의 지침을 www.microsoft.com/bountyprograms에서 읽고 [email protected]으로 제출하도록 권장합니다."라고 결론을 내 렸습니다.
새로운 착취 기술을보고 할뿐 아니라 방어 아이디어를 제공하는 연구원은 추가로 $ 50, 000 BlueHat 보너스를받을 수 있습니다. 또한 2012 년에 Microsoft는 BlueHat Prize 콘테스트의 우승자에게 50, 000 만 대를 지불했습니다.
Microsoft의 보상을 받으려면 많은 경험과 천재가 필요합니다. 보안은 종종 고양이와 마우스 게임이며, 범죄자들은 새로운 공격을 시도하고 방어자는 새로운 공격에 대응합니다. 악의적 인 사람들이 공격하기 전에 새로운 착취 기술 (및 이들에 대한 방어)을 생각해냅니다. Windows 사용자는 수신자에게 경의를 표합니다. 고마워요!