Двойное вознаграждение за обнаружение ошибок в рекламном коде Facebook


Исправив несколько ошибок в своем рекламном коде внутри компании, Facebook надеется привлечь хакеров whitehat, чтобы они раскрыли еще какие-то скрытые ошибки. С этого момента и до конца года он будет выплачивать двойные выплаты за ошибки в рекламе.

Объявляя о стимуле сосредоточиться на рекламном коде, а не на более общих частях кода Facebook, Колин Грин отмечает:

На этом этапе нашей программы поощрения ошибок мы редко видим многие из распространенных ошибок веб-безопасности, таких как XSS. Чаще всего мы видим такие вещи, как отсутствие или неправильные проверки разрешений, недостаточное ограничение скорости, которое может привести к очистке, краевые проблемы CSRF и проблемы с SWF.

Он также приводит несколько примеров ошибок, которые уже были исправлены в рекламе:

Использование одного и того же рекламного купона несколько раз без истечения срока действия.

Получение имени неопубликованной страницы с помощью процесса создания рекламы путем угадывания ее идентификатора страницы.

Произвольный локальный файл, читаемый через символическую ссылку .zip.

Внедрение JavaScript в электронное письмо с отчетом о рекламе, а затем использование ошибки CSRF, чтобы жертва отправила вредоносное электронное письмо цели от вашего имени.

В другом посте «Руководство для охотников за головами по Facebook» Колин Грин дает обновленные инструкции о том, как отправлять сообщения об ошибках, чтобы претендовать на вознаграждение. Это стоит внимательно прочитать, если вы новичок в программе Facebook Bug Bounty. Обнадеживающий момент идет вверху:

С момента запуска нашей программы поощрения ошибок в 2011 году исследователи заработали более 3 миллионов долларов, помогая нам сделать Facebook более безопасным.

Так что, учитывая, что в настоящее время предлагаются двойные награды, стоит изучить рекламу более внимательно, чем обычно.


Добавить комментарий