FaceBook懸賞50000美元獎勵互聯網安全防御項目
責編:admin |2014-08-29 13:18:01正因為有一個讓世界每人都接入互聯網大家庭的夢想,Facebook的創始人馬克扎克伯格致力于讓互聯網變得更加安全。
到現在為止,許多大公司都擁有技術bug賞金計劃,以此獎勵那些為互聯網安全做出貢獻的,發現軟件或網絡平臺的安全漏洞的研究人員和網絡愛好者,社交網絡巨頭facebook最近的一個計劃正是這樣做的。
Facebook和USENIX共同推出了互聯網防御獎,這是一項結合對互聯網安全的重大貢獻獎的工作模型而篩選出優秀研究成果的獎項,Facebook于星期四舉辦在圣迭戈的年屆USENIX安全座談會宣布了此事。
同時,Facebook宣布了在其互聯網防御獎后第一個獎項,為一對德國的研究人員的論文頒發了獎章,《Web應用程序二次漏洞的靜態檢測》,一種似乎是檢測Web應用程序中的漏洞可行的方法。
兩人使用了靜態手段去檢測Web應用程序中的二次漏洞,這種漏洞可以被用于在被提前存儲于Web服務器后實施攻擊。二次漏洞包括向目標Web服務器上傳惡意腳本/載荷,這能讓攻擊者進行遠程利用。
“比如,如果載荷被存儲在給大眾分享的資源上,XSS攻擊會給應用程序的用戶們帶來更大危害,”論文如是說。
靜態分析源代碼從而找出二次漏洞是一件很蛋疼的事情。但是,“通過分析閱讀、以及寫入到Web服務器的內存位置”,我們能夠通過在持久性存儲數據如數據庫或者會話數據中,連接輸入和輸出點,從而鑒別出被污染的數據。
這位研究人員如此說道。他曾提交了6種流行Web應用程序的159個二次漏洞,其中還包括幾個影響嚴重的0day。
在德國魯爾大學的兩位研究人員,Johannes Dahse和Thorsten Holz ,獲得了由Facebook和USENIX獎委員會的名義發放的50000美元的獎金。委員會似乎看到了一條用金錢打造技術研究的康莊大道,這法子或許在現實世界行得通。
據John “Four” Flynn所講,互聯網防御獎是一個正在實施的項目,而委員會正為未來的一個獎項征集新的想法。這位Fackbook的安全工程經理曾服務于互聯網防御獎的大獎委員會。
“我們決定專注于創造更多的機會和激勵手段,供給那些做出實際保護大眾工作的人員,”弗林在一篇博客中寫道。”我們的回答是互聯網防御獎,給優質的研究工作以獎勵,結合了特別是在保護和防御領域的互聯網安全的重大貢獻的工作原型。”
委員會以Facebook互聯網防御獎,吸引了研究人員和安全愛好者提交他們的成果給Facebook。他們表示,根據提交的強度,獎金額可能會增加,或許如果沒有項目符合,委員會會持續保留資金。
去年十一月,Facebook也參與建立過互聯網BUG基金,與互聯網防御獎類似,以獎勵在開源軟件項目中發現大規模網絡漏洞的研究者。網絡BUG基金是由hackerone發起的,其中參與的也包括其他如微軟、谷歌等大型公司。