透过技术社群协助寻找线上服务的未知漏洞,是大型软件、服务业者近年来依赖群体智慧的具体例证之一,而社交网路服务霸主脸书(Facebook)自从2011年开始你抓臭虫我给奖金的计划至今,已经抓到超过2,400个软件漏洞,并发出达430万美元(约新台币1.4亿元)奖金。
Facebook自2011年开始名为Facebook Bug Bounty的软件臭虫/漏洞通报奖励计划,已经有超过800人上传的2,400个漏洞被核可并发给奖金,而在2015年,则有210名参与者的526笔漏洞获审核通过,平均每笔奖金达1,780美元(约新台币5.9万元),若以参加工程师国籍来看获奖金额,则印度、埃及、千里达及托巴哥拿走最多奖金。
Facebook表示,过去较常见的XSS与CSRF漏洞已经逐渐少见,而发生在非关技术的商业逻辑漏洞则成为多数抓虫人关注的焦点,而随着Facebook的成长以及利用XHP与React等工具或架构后,传统常见的软件漏洞多半都已经能在正式上线前就被排除。
值得注意的是,Facebook收到的通报,其成熟度与完整性都有显著增加,例如较不重要或冲击很小的缺失通报越来越少,而重大漏洞的通报內容也都比过去完整,例如会包含可能的攻击手法步骤,更具体协助Facebook提升产品。
I 相关 / Other
Quartz 是同名商业新闻网站推出的独立应用。目前,只有 iOS 版本。除了配色,它长得 iMessage 差不多,想和
越来越多的首饰直接在网上开卖了。我们之前写过一个叫 AUrate 的美国高级珠宝品牌还把这当成了一种商业模式
图片来源: HPMC 美国洛杉矶的好莱坞长老教会医疗中心(Hollywood Presbyterian Medical Center)近日对外证
詹咏然与詹皓晴两姐妹,昨在球迷加油声中,顺利以6-4、6-3直落二击败日本组合穗积绘莉/加藤未唯捧下双打后
记者颜真真/台北报导辛苦了一年,上班族好不容易拿到年终奖金,但到底怎么该使用?根据调查显示,逾5成受访