Инициатива по выплате вознаграждений за поиск уязвимостей на сайтах Mozilla
Компания Mozilla объявила о расширении инициативы по выплате вознаграждений за выявления уязвимостей. Отныне вознаграждения будут начисляться не только за информацию об уязвимостях в продуктах Mozilla, но и за сведения о проблемах с безопасностью на сайтах проекта.
Уязвимости на сайтах и web-сервисах для разработки, таких как mozilla.org и bugzilla.org, представляют не меньшую опасность и могут быть применены для атаки на всю инфраструктуру. В качестве примеров приводится XSS-уязвимость, позволяющая выполнить коммит в Git через манипуляции с комментариями на сайте bugzilla.mozilla.org, и уязвимость в сервисе arewefastyet.community.scl3.mozilla.com, позволяющая выполнить подстановку SQL-кода.
Отныне за информацию об уязвимости на сайте, позволяющей выполнить код на сервере будет выплачено вознаграждение в $5000 для ключевых сайтов, $2500 для основных сайтов и $500 для вторичных ресурсов. За сведения об обходе механизмов аутентификации или подстановке SQL-кода размер премии составит $3000 и $1500, за CSRF, XSS или захват домена - $2500 и $1000.
