记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

小米智能生活安全守护计划发布 首期奖金池高达50万元

活动简介用户对智能产品的安全要求是小米的首要责任,为此我们发布小米智能生活安全守护计划,该计划针对小米系列智能产品中可能存在的安全隐患,以互联网众包形式邀请广大网络安全专家、白帽团队、电子工程师、爱好者对设备进行安全测试,最大程度发现未知安全风险并对结果重金奖励的测试计划。本期目标产品:米家智能摄像机,是一款 1080P 高清分辨率智能摄像机,支持双向语音传输、2.4/5G双频 Wi-Fi、低功耗蓝牙、活动监测、夜视、SD卡/NAS 视频存储等功能,与米家 APP 完美联动。测试时间 2018年1月12日 -2018年2月22日测试固件版本 >=3.3.10_0155漏洞提交地址 sec.xiaomi.com注:本期仅接受设备本身安全漏洞报告评分标准小米重视产品在任何使用场景中面临的安全风险,并按利用条件
发布时间:2018-01-15 19:15 | 阅读:85957 | 评论:0 | 标签:活动集中营 众测 小米 智能摄像机

美国“黑了空军”众测项目发现漏洞 进入国防部网络

本月早些时候,“黑了空军 2.0”漏洞奖励项目启动,参与项目的黑客发现入侵美国国防部的关键漏洞。12月9日,纽约富尔顿中心拉开了“黑了空军 2.0”的帷幕。活动中,两名研究人员演示了如何透过空军网站漏洞,入侵国防部网络,并赢得了10,650美元。这是美国政府举办的所有漏洞奖励项目中,有史以来最高单笔奖金数额。7名美国空军人员和25名平民白帽黑客,发现了55个漏洞,共获得26,883美元奖金。“黑了空军2.0”将持续到2018年1月1日,五眼联盟(美国、英国、澳大利亚、加拿大和新西兰)、北约成员国或瑞典的公民/长期居民,均可申请参加。也就是说,31个国家的人可以参与该项目——迄今为止最为开放的政府漏洞奖励项目。美国军方人员也可以参加,但没有获得奖金的资格。尽管理论上这些国家的任何人都可以申请,却也不是每名申请者都
发布时间:2017-12-21 21:05 | 阅读:97654 | 评论:0 | 标签:牛闻牛评 众测 漏洞奖励 美国国防部 黑掉空军 漏洞

美国国防部向黑客开放 数千漏洞被修复

美国政府一贯容不下黑客。事实就是如此。根据《计算机欺诈及滥用法案》,攻击受保护的系统,甚至揭露其漏洞,都是违法的;美国司法部(DoJ)也多次站出来表示,将会严格执行该法案。然而,过去18个月里,国防部(DoD)一项名为“黑掉五角大楼”的计划,为修正这一偏见带来了一线曙光。政府为时甚久的防御姿态,在理论上是说得通的——太多重要秘密要保守了,但实际上,很多安全专家一直批判政府这是误解了网络安全的运作机制。研究人员和关注安全的公民无法揭露自己发现的漏洞,才会导致政府(或任意机构)更不安全。于是,随着一系列政府机构数据泄露事件的发生,包括毁灭性的人事管理局(OPM)黑客事件,国防部国防数字服务小组(DDS)、国防部长办公室网络策略小组,还有时任国防部长阿什·卡特,看到了通过引入漏洞奖励计划来刺激改变的可能性。DDS产品
发布时间:2017-11-19 06:30 | 阅读:82993 | 评论:0 | 标签:牛闻牛评 众测 漏洞奖励项目 美国国防部 漏洞

“黑掉空军”发现207个漏洞 发放13万美元奖金

5月到6月期间黑进美国空军的安全研究员总共拿到了13.34万美元的奖励。“黑掉空军”漏洞奖励项目,让272名黑客针对精选出的公开USAF网站资源下手,寻找并负责任地公开漏洞。“黑掉空军”奖励项目由HackerOne运营,该漏洞奖励平台之前还承办过“黑掉国防部”和“黑掉陆军”漏洞奖励项目。漏洞奖励项目的目标,是纳入第三方安全研究人员来发现安全问题,然后为此支付报酬。从5月30日持续到6月23日的“黑掉空军”奖励项目期间,共有207个漏洞被发现并秘密报告。作为项目的一部分,USAF根据所报告漏洞的严重性和影响,为每个漏洞付出100美元到5000美元不等的酬金。这些安全漏洞的详细信息不在此时公开。HackerOne公关主管劳伦·科斯扎雷克说:“最高5000美元档次的奖金发给高影响漏洞。我们不能公开发给特定黑客的具体奖
发布时间:2017-08-12 20:50 | 阅读:141815 | 评论:0 | 标签:行业动态 众测 安全漏洞 渗透测试 黑掉空军 漏洞

漏洞盒子刚刚发布的“企业SRC托管业务”什么样?

5月5日,漏洞盒子在京发布“企业SRC托管业务”。作为国内知名的白帽子社区,漏洞盒子有着庞大的白帽子群体。漏洞盒子联合创始人兼CTO张天琪表示,自漏洞盒子成立以来,就一直希望为企业提供更加开放透明的安全服务,降低企业运营成本。 近年来,国内许多大型公司开始建立自己的SRC,为解决企业网络安全问题提供了有力的支撑。但企业自建SRC也会面临一些问题,比如SRC的常规工作,漏洞审核、修复跟踪,市场运营、平台开发等,均需要专业人员。而安全不是企业的主要业务,因此在安全的投入有限,即使自建了RSC,时间长之后会也显现出后劲不足的问题。 三分建设,七分运营。 因此,基于自身的优势,漏洞盒子特此推出“企业SRC托管业务”来为企业低成本、高效率的解决网络安全问题。 漏洞盒子平台有效白帽子数量达3万+,月活5千+,累计为企业提
发布时间:2017-05-07 20:30 | 阅读:102783 | 评论:0 | 标签:行业动态 企业SRC托管 众测 漏洞盒子 漏洞

美国防部启动最高漏洞奖励计划:“黑入空军”

紧跟“黑了五角大楼”和“黑进陆军”项目的成功脚步,美国国防部4月26号又启动了“黑入空军”漏洞奖励项目。 “黑入空军”将是五角大楼最大的漏洞奖励计划,因为它不仅对美国专家开放,来自五眼联盟(包括:美国、英国、加拿大、澳大利亚和新西兰,是二战后英美多项秘密协议催生的多国监听组织)的专家也可以参加。 该项目在HackerOne平台运营,旨在帮助空军强化其关键资产。报告漏洞的白帽黑客即有获得金钱奖励的资格,但具体数额尚未指定。 只有经过审查的研究人员才可以注册,军方成员和政府雇员也可以参与,但不会获得任何奖励。 空军首席信息安全官皮特·金称:“这是空军首次将自己的网络向如此广泛的人群开放。我们的网络每天都遭到恶意黑客的入侵尝试。很高兴可以让友好黑客模拟测试一下,最重要的是,让我们知道该如何提升我们的网络安全和防御态
发布时间:2017-04-29 04:35 | 阅读:85345 | 评论:0 | 标签:牛闻牛评 众测 漏洞奖励 美国空军 漏洞

漏洞到底值多少钱?

漏洞奖励数额不是“看着给的”,而是经过精心计算的。 口令安全公司1Password最近将其漏洞奖励最高奖金从$25,000提升到了$100,000。其博客上称,奖金数额的增加,是为了更进一步激励研究人员。无独有偶,谷歌去年的漏洞奖励项目也是大手笔,共花了300万美元。 但是,这些数额到底是怎么确定的呢? 众测平台Bugcrowd的运营副总裁大卫·贝克表示,这些大奖表明,公司企业已经开始真正思考漏洞市场,以及漏洞的市场价值。 “一个漏洞应该值多少钱?”,这是寄望于众包安全测试的公司常会提出的问题。 随着漏洞奖励市场的成熟,该问题的答案也在不断发展中,但成功关键还是保持不变——以恰当的激励吸引正确的研究人员。然而,大多数公司都没认识到的是,影响奖励支付区间的决定因素是多样而又复杂的。 从定义范围,到建立有吸引力的
发布时间:2017-03-28 11:40 | 阅读:115300 | 评论:0 | 标签:牛闻牛评 众测 漏洞奖励 漏洞

调查|2016年公布的漏洞数量创造新记录

2月6日由Risk Based Security发布的一项报告显示,去年公布的漏洞数量创造了新的纪录。这份名为《2016年度漏洞概览》的报告列举了Risk Based Security通过VulnDB漏洞检测平台提供的分析结果。 报告显示,2016年间VulnDB共报告了15000个漏洞,这一数据刷新了历史纪录。雪上加霜的是,不仅仅漏洞的数量在增加,而且报告的问题也日趋严重。常见漏洞评级体系(CVSS)是一项测量安全漏洞的风险程度的行业标准,漏洞的评级和其造成的影响成正比。2016年的已报漏洞中,21.3%的CVSS评级在9.0和10.0之间。此外,2016年间漏洞报告的方式繁多,然而相对于业界的各自为战,故障激励项目的成果令人振奋。 虽然漏洞的类型很多,2016年报告最多的Web漏洞攻击是跨站脚本攻击(XS
发布时间:2017-02-11 03:45 | 阅读:126164 | 评论:0 | 标签:行业动态 Risk Based Security VulnDB 众测 安全漏洞 跨站脚本攻击 漏洞

就差报警了 暗网毒品市场竟然也开始搞众测

某流行毒品和被盗信用卡交易黑市刚刚弄了个安全漏洞奖励项目,给报告漏洞的黑客支付报酬。该“Hansa”黑市于上周启动了奖励项目,邀请安全研究人员揭露可能泄露用户、供货商或管理员的漏洞,金额高至10比特币(约合1万美元)。 这点钱,比起黑客通过传统方式利用漏洞进行勒索什么的,当然赚得少多了。2015年被捕的非法网络黑市“丝路”老板罗斯·乌布里奇,就不得不支付能对该网站发起DDoS攻击的黑客每周$50,000的薪水。据称,他还支付了暗地里威胁要曝光他身份的黑客大量现金。 在Hansa网,不能用于揭露用户、供货商和管理员身份的漏洞,会得到1比特币的报酬。其他侵入性更低的漏洞或缺陷,只值0.5比特币。网站管理员承诺遵循漏洞奖励最佳实践,并与漏洞报告者保持经常性联系。在补丁应用前就释放漏洞,或者利用漏洞影响该/Users
发布时间:2017-02-09 02:00 | 阅读:124785 | 评论:0 | 标签:牛闻牛评 众测 暗网 黑市

继“黑掉五角大楼”之后 美军启动“黑掉陆军”众测项目

几乎每家大型科技公司都会给找出他们软件漏洞的黑客提供现金奖励。五角大楼也不甘落后,今年启动了其首个漏洞奖励项目以扩展政府防御其系统的方式。现在,军队也加入了进来,“黑掉陆军”漏洞奖励项目本月正式上马。 即将离职的美国陆军部长埃里克·范宁宣布,该项目诚邀黑客筛查陆军数字征兵基础设施中的漏洞。与“黑掉五角大楼”不同,“黑掉陆军”不仅邀请黑客评估静态网站,关注重点还放在征兵网站和申请者及现役军官的个人信息数据库上。该项目没有对所有人开放,只有通过审查的黑客才会受邀。但军方和政府雇员想要参与的话,自动获得门票。 “科技界和国防部之外发生的很多事,我们都没能及时跟上。此举就是要找寻做事的新方式。”新闻发布会上范宁如是说。 对范宁来说,征兵涉及的数字服务是“关键任务”,但显然不像战斗车辆的导航和通信系统来得那么重要。不过
发布时间:2016-11-15 03:15 | 阅读:90209 | 评论:0 | 标签:牛闻牛评 HackerOne 众测

黑掉五角大楼大获成功 美国防部计划开展更多漏洞奖励项目

“黑掉五角大楼”项目大获成功之后,美国国防部决定继续采用众包专家的方式,来测试其网站和网络中的安全漏洞。 美国国防部(DoD)上周四宣布,拨出总计700万美元的资金给HackerOne和Synack,供他们辅助该部门下属机构成立自有漏洞奖励项目。 HackerOne将帮助DoD运营“黑掉五角大楼”类似的黑客挑战赛,Synack将为仅对经严格审查的研究人员开放的某私有项目提供辅助。该私有项目主要针对五角大楼的敏感IT资产。DoD希望这些合约能覆盖14个项目,让数百名研究人员收益。 国防部部长办公室发言人马克·莱特说:“随着对手越来越狡猾,威胁环境不断发展变化,维持高水准的安全从未如此重要过。通过与这些领先众包安全公司合作,我们能以一种更加创新、多元、可扩展和有效的方式,更好地保护和防御我们的数字资产。” 由国防
发布时间:2016-10-24 22:10 | 阅读:90781 | 评论:0 | 标签:牛闻牛评 五角大楼 众测 渗透测试 漏洞

众测模式争议中需要深度思考的三个事实

白帽黑客因在漏洞收集平台提交漏洞,遭厂商举报并被警方抓捕一事,在发酵了一段时间之后,终于引起了大规模的争论。争论的焦点集中在“未经授权的渗透测试”这一模式是否应该继续进行下去。支持方认为,这种模式警醒了漠视安全的企业或机构,吸引更多的信息安全爱好者加入白帽子的行列,为整个社会的安全状况带来了革新。反对方则认为,这种模式助长了测试和闯入别人信息系统的随意性和不负责性,甚至连黑帽子都可以利用这一模式在非法获利的同时以白帽子的身份掩护自己,而且最难反驳的论据是,这一行为涉嫌违法。在本文中,笔者试着先把争论中的各种论据细节放在一边,而从三个已经发生的事实推导出未来可能的趋势,透过现象看本质,以期引起大家的深度思考,而不是陷入无果的争论。第一个事实:乌云的崛起近两年来,通过重大漏洞的曝光,乌云影响力飞速崛起。但大家有没有
发布时间:2016-06-28 02:30 | 阅读:80179 | 评论:0 | 标签:牛闻牛评 乌云 众测 漏洞 白帽黑客

阿里“先知”:白帽子的日常与信仰

“先知”是什么?” 在《圣经》中,先知摩西高举手杖,在波涛汹涌的红海中打开一条通路,带着以色列人走出埃及,前往应许之地;在网络游戏中,先知身处战场的远端,于股掌之间操控着风云变幻的战局。 在安全圈,也有着这样的“先知”:先知不是某一个人,而是一群白帽子。他们是互联网安全的观察者,静静地发掘着每一个潜在的危机。 以一行行代码作为手中的法杖,他们引领着互联网走在更安全、更开放的道路上,共同创造着互联网安全的新世界。   安全脉搏:上百个漏洞,十万多奖金 纵览“先知”平台的名人榜榜单,你会发现,有一个名字时常盘踞在前几名的位置,他就是安全脉搏。 从加入先知平台到今天,安全脉搏已经提交了上百个漏洞,成为先知积分排行第一的白帽子,但提到这一傲人成绩时,他的语气轻描淡写,随意得如同在谈午餐吃了什么:

NIST计划对量子加密进行众测

量子计算机还没有问世,但美国国家标准与技术研究所( NIST)已经开始计划“量子抵抗”的众测了。众所周知,量子计算机可能将使如今的许多加密手段无用武之地,如今,NIST希望借助公众的力量摆脱这一威胁。NIST近期发布了一份报告,集中于量子世界的密码学,概述了一种防患于未然的长期措施。NIST的数学家达斯汀·穆迪 (Dustin Moody) 称:“近年来已经有了不少量子计算机领域的研究,而且大型计算机企业和政府机构等各个方面都希望自己使用的密码学算法实现’量子抵抗’。这样,如果有人真的造出了大型量子计算机,我们就有了它无法破解的算法。”加密通常依赖于大素数难题实现安全性。不过麻省理工学院和奥地利因斯布鲁克大学的研究人员近期已经展示了世界上第一台五原子量子计算机,该设备能够破解基于大素数的加密策略。传统计算机依赖
发布时间:2016-05-09 22:25 | 阅读:72617 | 评论:0 | 标签:黑极空间 众测 加密算法 量子计算 加密

攻击五角大楼行动已近尾声 500+黑客前赴后继

五角大楼正在进行一项众包工程,吸引了大约500名安全研究人员报名,查找五角大楼网站上的漏洞。该项目的管理方HackerOne公司称,五角大楼上线的漏洞赏金项目在上周已经进行过半,目前来看,该活动在一定程度上已经取得了成功。超过500名安全研究人员和黑客通过了背景审查,加入了搜寻安全漏洞的大军中。“入侵五角大楼”试验项目最初在三月宣布。它是历史上首次借助私营企业的众包服务帮助搜索政府信息系统漏洞的活动。该项目奖金额度为15万美金,目前已经进行了两周,未来还有两周的期限。五角大楼和HackerOne公司迄今为止尚未披露任何关于此项活动的结果,但HackerOne公司首席技术官、漏洞项目管理服务联合创始人亚历克斯·莱斯 (Alex Rice) 强调,如果没有任何研究人员找到重大漏洞,这将是“统计学上的奇迹”。他对媒体
发布时间:2016-05-09 07:00 | 阅读:74169 | 评论:0 | 标签:牛闻牛评 五角大楼 众测

美国军方想搞众测 成立军方漏洞响应计划

近日,两名美军上尉发表论文称,美军应成立中央计划以公布和管理危害美军系统的软件漏洞。洛克·史蒂文斯上尉和迈克尔·威根德说道:“谷歌、脸书、微软、贝宝等公司运营的漏洞奖励计划能够很好地鼓励研究人员负责任地揭露漏洞,而美军应该建立类似的计划以阻止安全漏洞继续处于未报告的和未解决状态。”据史蒂文斯和威根德所说,美军已有数个漏洞管理计划,但这些计划不允许人员进行合适的测试和使用适当的工具。而对于漏洞报告,有一个标准的操作流程,但并没有集中跟踪或管控。“当前国防部漏洞研究人员的操作环境充满了危险和恐惧的氛围。工作人员处于对事后报复的恐惧而不愿意揭露系统内的已知漏洞。”这两名美军网络专家指出。在“网络防御述评”网站(Cyber Defense Review)上发表的这篇论文中,史蒂文斯和威根德提出应创建类似私营公司运营的漏
发布时间:2015-11-03 20:40 | 阅读:73641 | 评论:0 | 标签:动态 AVRP 众测 漏洞响应 美国 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云