记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

美国“黑了空军”众测项目发现漏洞 进入国防部网络

本月早些时候,“黑了空军 2.0”漏洞奖励项目启动,参与项目的黑客发现入侵美国国防部的关键漏洞。12月9日,纽约富尔顿中心拉开了“黑了空军 2.0”的帷幕。活动中,两名研究人员演示了如何透过空军网站漏洞,入侵国防部网络,并赢得了10,650美元。这是美国政府举办的所有漏洞奖励项目中,有史以来最高单笔奖金数额。7名美国空军人员和25名平民白帽黑客,发现了55个漏洞,共获得26,883美元奖金。“黑了空军2.0”将持续到2018年1月1日,五眼联盟(美国、英国、澳大利亚、加拿大和新西兰)、北约成员国或瑞典的公民/长期居民,均可申请参加。也就是说,31个国家的人可以参与该项目——迄今为止最为开放的政府漏洞奖励项目。美国军方人员也可以参加,但没有获得奖金的资格。尽管理论上这些国家的任何人都可以申请,却也不是每名申请者都
发布时间:2017-12-21 21:05 | 阅读:99922 | 评论:0 | 标签:牛闻牛评 众测 漏洞奖励 美国国防部 黑掉空军 漏洞

发现Google内网漏洞 拿到5000美元

研究人员从谷歌手中赚到5000美元奖金,因为在这家科技巨头的内网系统登录页面发现了一个信息泄露漏洞。 谷歌员工到公司后第一件事是什么?很可能是登录“moma”——谷歌内网登录页面login.corp.google.com。这个页面就是让奥地利研究员大卫·温德赚到谷歌漏洞奖励的脆弱谷歌服务。 该登录页面很简单,但每次被访问都会从 static.corp.google.com加载一个随机镜像。多次尝试失败后,温德通过在该URL后添加随机字符串,成功产生了一个404错误页面。 与谷歌呈现给用户的其他错误页面显示的不同,这个页面包含有一个名为“以SFFE调试跟踪重新查询”的链接,该链接指向原URL,只不过,后面跟了个“?deb=trace”。 该调试页面包含多种信息,有服务器名称和内部IP、X-FrontEnd(X
发布时间:2017-05-21 06:50 | 阅读:121802 | 评论:0 | 标签:牛闻牛评 信息泄露 漏洞奖励 谷歌 漏洞

美国防部启动最高漏洞奖励计划:“黑入空军”

紧跟“黑了五角大楼”和“黑进陆军”项目的成功脚步,美国国防部4月26号又启动了“黑入空军”漏洞奖励项目。 “黑入空军”将是五角大楼最大的漏洞奖励计划,因为它不仅对美国专家开放,来自五眼联盟(包括:美国、英国、加拿大、澳大利亚和新西兰,是二战后英美多项秘密协议催生的多国监听组织)的专家也可以参加。 该项目在HackerOne平台运营,旨在帮助空军强化其关键资产。报告漏洞的白帽黑客即有获得金钱奖励的资格,但具体数额尚未指定。 只有经过审查的研究人员才可以注册,军方成员和政府雇员也可以参与,但不会获得任何奖励。 空军首席信息安全官皮特·金称:“这是空军首次将自己的网络向如此广泛的人群开放。我们的网络每天都遭到恶意黑客的入侵尝试。很高兴可以让友好黑客模拟测试一下,最重要的是,让我们知道该如何提升我们的网络安全和防御态
发布时间:2017-04-29 04:35 | 阅读:88031 | 评论:0 | 标签:牛闻牛评 众测 漏洞奖励 美国空军 漏洞

漏洞到底值多少钱?

漏洞奖励数额不是“看着给的”,而是经过精心计算的。 口令安全公司1Password最近将其漏洞奖励最高奖金从$25,000提升到了$100,000。其博客上称,奖金数额的增加,是为了更进一步激励研究人员。无独有偶,谷歌去年的漏洞奖励项目也是大手笔,共花了300万美元。 但是,这些数额到底是怎么确定的呢? 众测平台Bugcrowd的运营副总裁大卫·贝克表示,这些大奖表明,公司企业已经开始真正思考漏洞市场,以及漏洞的市场价值。 “一个漏洞应该值多少钱?”,这是寄望于众包安全测试的公司常会提出的问题。 随着漏洞奖励市场的成熟,该问题的答案也在不断发展中,但成功关键还是保持不变——以恰当的激励吸引正确的研究人员。然而,大多数公司都没认识到的是,影响奖励支付区间的决定因素是多样而又复杂的。 从定义范围,到建立有吸引力的
发布时间:2017-03-28 11:40 | 阅读:117756 | 评论:0 | 标签:牛闻牛评 众测 漏洞奖励 漏洞

补天推出众测新方案 它有哪些不一样?

今天上午,小编参加补天颁奖典礼及新平台发布会。发布会上,补天重金奖励了2015年做出突出贡献的白帽子,并首次推出为企业量身打造的补天众测服务。作为安全领域的行业媒体,小编自然最关心这个新众测方案的运营机制和特点。下面是小编整理出的关键点:一、目前企业如何解决安全风险1. 自建SRC。优点是有效且快速的获取自身安全漏洞信息,缺点是资源的投入。2. 自建团队。自建安全团队能够对自己的业务及时安检,排查漏洞,但安全团队的工作量和企业需要进行安全测试的工作量,明显不对等。3. 购买安全设备。设备确实可以在一定程度上提升安全水平,但设备同样也有局限性,比如逻辑漏洞。因此,人机结合才是最有效的解决手段。4. 购买安全服务。介于以上种种问题,安全服务能够有效的缓解,提升安全能力,可效果好的安全服务费用太高。二、企业解决安全风
发布时间:2016-04-10 01:10 | 阅读:110545 | 评论:0 | 标签:行业动态 漏洞奖励 白帽 补天众测

白帽女黑客“暗狐” 半月吸金22.2万

她没有经过正统的技术学习,没有大公司的操练环境,更没有名师指点。但却在短短半个月里,连续获得蚂蚁金服安全应急响应中心(AFSRC)两次重磅奖励。总金额高达22.2万元(税后)。最难得的是,妹子对外界诱惑不屑一顾,依然坚持信仰,做自己认为对的事情,值得受人尊敬。3月17日,暗狐第一次获得AFSRC的重磅奖励11.1万元。这是AFSRC自1月11日创办以来,发出的第一个重磅奖励。这个漏洞和攻击工具相关,暗狐掌握了一款软件的攻击手法,再结合威胁情报,发现了其中存在的风险,立即报告给AFSRC。经确认后,暗狐获得了蚂蚁金币奖励1100个,折合现金1.1万元。额外奖励10万元现金。合计11.1万元。3月30日,暗狐再次获得AFSRC重磅奖励11.1万元。这次,她发现的是一个业务漏洞,和上次一样,暗狐探查到外部的威胁情报,
发布时间:2016-04-03 15:00 | 阅读:78785 | 评论:0 | 标签:牛闻牛评 AFSRC 女白帽 漏洞奖励

干掉最新版Flash 可获10万美元

自 Adobe公司上次更新 Flash播放器已经过去了两周,漏洞商业利用市场已经对绕过这些安全更新产生了新的兴趣。 漏洞交易平台Zerodium近日在推特上宣布,愿意为攻破最新版Flash “堆隔离”特性的人员支付10万美金。这种内存防御机制可以让利用某些类型的安全漏洞更加困难,也意味着黑客最近几年用于注入恶意软件的手段不再管用。Adobe在2015年早些时候与谷歌 Project Zero 漏洞研究团队合力开发了这项新功能,与此同时,Project Zero 团队也报告称Flash Player 三分之一的漏洞已在2015年内修复。Adobe公司首席科学家菲勒斯·尤利(Peleus Uhley)在去年12月21日发表的一篇博文中称,谷歌 Project Zero 开发了堆隔离特性的向量,Adobe 公司则将该
发布时间:2016-01-08 14:40 | 阅读:104653 | 评论:0 | 标签:动态 行业动态 Flash Zerodium 漏洞奖励

瓦瑟纳尔新规将冲击漏洞市场

漏洞奖励已不算是非常新鲜的事物,并渐渐发展成为平常之需。不仅公司企业希望能够从奉公守法的漏洞挖掘人员那里获取信息,找到自身的弱点,另一方面也是大量独立研究人员从厂商和第三方漏洞奖励平台上赚取生活费的途径。但是美国工业与安全局最近对瓦瑟纳尔协定提出的修改,却给上述靠漏洞奖励吃饭的各方都提出了真正的挑战。这些规定旨在抑制两用武器的买卖和交易,在计算机安全语境下,两用武器就是所谓的入侵软件,如FinFisher和HackingTeam之类据称卖给专制国家用于监视国民的。安全研究人员在美国公布新规的两周里已经表达了他们对此提案的关注,他们认为新规对入侵软件的定义过于宽泛,合法的漏洞研究和概念验证(PoC)将受到监管。(相关阅读:《代码即武器:美国开始控制漏洞市场》)这就意味着发现了零日漏洞并做出触发漏洞利用的概念验证程
发布时间:2015-06-13 00:55 | 阅读:93737 | 评论:0 | 标签:动态 漏洞奖励 瓦瑟纳尔 漏洞

腾讯升级漏洞奖励计划 维护互联网生态安全圈

腾讯安全应急响应中心(TSRC)昨日宣布,将以前实行的“通用软件漏洞奖励计划”升级为“互联网生态安全漏洞奖励计划”。新的奖励计划优先考虑的软件较之前有了大幅度增加,重点新增了大数据存储、云和虚拟化相关的软件。通用软件漏洞奖励计划于去年10月份推出,其实质上是最早的“漏洞奖励计划”的提升。它意味着TSRC平台上从事漏洞挖掘工作的白帽黑客,不必只提交腾讯产品和服务的漏洞,一切通用框架、组件、应用程序或者系统(即通用软件)的严重漏洞都可提交到TSRC的平台上,并因此而获得奖励。奖励计划一期现金总额达100万人民币。那么此次TSRC又将推行不久的通用软件奖励升级为互联网生态安全奖励的关键意义何在呢?据TSRC介绍,与通用软件漏洞奖励计划不同,“互联网生态安全漏洞奖励计划”在奖励漏洞报告者的同时,还会通过定向捐赠现金、组
发布时间:2015-04-09 13:40 | 阅读:96432 | 评论:0 | 标签:动态 TSRC 互联网安全生态圈 漏洞奖励 漏洞

TSRC启动“互联网生态安全漏洞奖励计划”

“心脏滴血”漏洞来袭一周年之际,腾讯安全应急响应中心(TSRC)正式决定在2015年4月8日将“通用软件漏洞奖励计划”升级为“互联网生态安全漏洞奖励计划”。在奖励漏洞报告者的同时,“互联网生态安全漏洞奖励计划”还会通过定向捐赠现金、组织安全技术交流等方式,帮助通用软件开发组织提高软件安全性。相比只奖励漏洞发现者的模式,腾讯安全应急响应中新认为这种新的做法更加有助于从根本上解决安全问题。 2014年4月8日,“心脏滴血”漏洞横空出世横扫全世界,各大互联网公司血流成河。“心脏滴血”漏洞在互联网史上写下了浓重的一笔,也仿佛推开了一扇黑暗之门。自此以后,“贵宾犬”漏洞、“幽灵”漏洞、“freak”漏洞以及“受戒礼”漏洞等基础通用软件安全漏洞的不断曝光,整个互联网行业被浓浓的“漏洞雾霾”所笼罩。 为了预防通用软件安全漏
发布时间:2015-04-08 21:55 | 阅读:76282 | 评论:0 | 标签:业界 TSRC 漏洞奖励 漏洞

这家社交网站奖励盗走其2000万用户信息的黑客

从俄罗斯社交网站Topface盗取2千万用户凭据的黑客,不仅没有被控告还得到了一份数额不小的酬劳。因为他“找到了”会导致灾难性数据泄露后果的漏洞。这种神转折在其他任何国家发生都是不可思议的,不过Topface称修补这个漏洞将会一劳永逸地解决事件,因而才做出付款给黑客的举动。此事件中的黑客曾试图在一家犯罪论坛上兜售那些偷来的数据,正是在那家论坛上,数据泄露第一次被全厂商Easy Solutions发现。如果没被发现,那些数据很可能已经被售出,而Topface则毫无所觉。Topface的一份声明中说:“他(指黑客)已确认我们的调查结果,并且与Topface达成了协议,不再出售获取的电子邮件地址数据库。”“鉴于他并没有将数据泄露给任何人,以及无意在将来这么做的事实,我们将不对他提起控诉。此外,作为对他发现漏洞并同意在
发布时间:2015-02-14 06:10 | 阅读:79861 | 评论:0 | 标签:动态 Topface 信息泄露 漏洞奖励

漏洞盒子项目上新:360手机安全卫士APP安全测试

360手机卫士是一款免费的手机安全软件,集防垃圾短信,防骚扰电话,防隐私泄漏,对手机进行安全扫描,联网云查杀恶意软件,软件安装实时检测,流量使用全掌握,系统清理手机加速,归属地显示及查询等功能于一身,是一款功能全面的智能手机安全软件。日前,360手机安全卫士与FreeBuf旗下产品“漏洞盒子(vulbox.com)”达成合作协议,由FreeBuf漏洞盒子的白帽子测试其APP的安全性。有效漏洞包括但不限于:- 远程代码执行漏洞- 本地跨应用功能漏洞- 信息泄露漏洞- 拒绝服务漏洞具体规则及奖金范围:【高危】远程代码执行漏洞、本地跨应用功能漏洞  (奖金:1000RMB – 上不封顶,平台RANK:30)属于360移动客户端产品的自身开发
发布时间:2014-08-15 17:55 | 阅读:67807 | 评论:0 | 标签:活动 360手机卫士 挖洞奖励 漏洞奖励 漏洞盒子 现金奖励 白帽子 漏洞

谁最给力?国内各大应急响应中心奖励分析

最近几个月在几个应急响应中心的平台上体验了一下,根据自己的情况,跟大家分享一下国内各大应急响应中心奖励情况。仅仅分析的奖励情况,略带一些简介,不对其进行评论。分析依据:1:先从每个平台的兑换平台找出所需兑换币最高、中等、最低的礼品。2:找出这三个礼品的官方或者平均售价(兑换币数量相同则取售价总平均值或根据具体情况进行处理。),并根据所需兑换币换算出每单位兑换币的价值。3:根据一些比较容易发现的漏洞的兑换币获得情况,算出这些漏洞的价值。分析目标:腾讯安全应急中心(TSRC)、网易安全中心、京东应急响应中心(JSRC)、百度安全响应中心(BSRC)一、腾讯安全应急中心(TSRC)网址:http://security.tencent.com国内首个成立的安全应急响应中心,各种规则都很健全以及人
发布时间:2013-10-14 12:20 | 阅读:109283 | 评论:0 | 标签:其他 应急响应中心 漏洞奖励

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云