来源: 时间:2022-01-22 08:35:03
微博网站Twitter已向研究人员和bug猎人支付了322,420美元,他们在其bug赏金 “HackerOne” 计划下披露了过去两年的漏洞。
Twitter的软件工程师Arkadiy Tetelman说: “我们维护一个安全的开发生命周期,包括对所有发布代码、安全审查流程、强化安全库和通过内部和外部服务进行的强大测试的人进行安全开发培训 -- 所有这些都是为了最大限度地提高我们为用户提供的安全性。” 在周五的博客文章中说。
除了这些措施之外,该公司还通过其bug赏金计划与更广泛的信息安全社区接触,允许安全研究人员负责任地向公司披露漏洞,以便他们能够在这些问题被他人利用之前做出回应并解决这些问题。
Tetelman补充说,自2014年5月以来,该公司一直在使用 “HackerOne”,并发现该程序是查找和修复从平凡到严重的安全漏洞的宝贵资源。
他指出,在两年中,该公司已收到1,662研究人员向该计划提交的5,171份材料,并且已解决的错误的20% 已公开披露 (应研究人员的要求)。
“我们总共向研究人员支付了322,420美元。我们的平均支出是835美元。我们的最低支出是140美元,迄今为止我们的最高支出是12,040美元 (我们的支出始终是140的倍数),”Tetelman指出。
软件工程师说,仅在2015,一个研究人员就因报告漏洞而赚了54,000多美元。
“我们还为远程代码执行漏洞提供至少15,000美元的服务,但我们尚未收到这样的报告,” 他补充说。
Tetelman注意到该程序暴露了一些重大错误,包括Crashlytics Android应用程序中的XSS,该应用程序将其部分内容呈现在webview中,而webview没有足够的保护措施来防止跨站点脚本攻击。
他还提到 “允许信用卡删除的IDOR”-信用卡删除端点上的一个简单的不安全的直接对象引用错误允许攻击者删除但不查看不属于他们的信用卡。
“如果你也有兴趣帮助保持Twitter的安全,那么就去我们的bug赏金计划,或者申请我们的一个开放安全职位!” 他说。
相关推荐
猜你喜欢
