聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
LinkedIn 推出公开漏洞奖励计划,取代了自2014年以来运行的受邀制漏洞奖励计划。
如果研究员能够找到严重漏洞,则可获得5000到1.5万美元不等的奖励;如发现高危漏洞,则奖励为2500至5000美元;中危漏洞的奖励为250至2500美元不等。
该漏洞奖励计划由 HackerOne 平台托管,邀请黑客寻找主域名LinkedIn.com、LinkedIn API 以及安卓和iOS 移动应用中的漏洞。
公开的漏洞奖励计划
LinkedIn 的漏洞奖励计划涵盖范围是“对LinkedIn 成员的数据或基础设施产生重大影响的实现和设计问题”,如跨站点脚本漏洞、跨站请求伪造漏洞、SQL注入、身份认证、访问控制以及服务器端代码执行漏洞。
LinkedIn 指出,“我们的安全团队快速解决安全漏洞,不断提升防御措施并保护产品开发流程的安全,致力于为8.3亿名成员与客户提供安全体验”。另外它提到,非公开的漏洞奖励计划自诞生之日起,“为近500份漏洞报告颁发了超过25万美元的奖励,涵盖LinkedIn 成员平台和移动应用程序。这种成功促使我们推出了公开的漏洞奖励计划,并将参与人员范围扩大到任何想要报告漏洞的人员。”
LinkedIn 作为尚无专业人员和工作机会的链接平台,在2021年发生了两次重大数据泄露事件,分别影响5亿和7亿人员,不过事件源自对公开网页的抓取而非网络攻击。不过这家美国硅谷公司仍然遭到安全专家和美国国会成员的指责,原因是该公司认为2012年的入侵事件仅影响640万个用户密码,但2016年显示实际上影响1.17亿名用户。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
朝鲜国家黑客被指利用 LinkedIn 攻击欧洲航空公司和军队企业
LinkedIn在俄遭禁用 下一目标或是Facebook和Twitter
原文链接
https://portswigger.net/daily-swig/linkedin-bug-bounty-program-goes-public-with-rewards-of-up-to-18k
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~