کمیته رکن چهارم – شرکت موزیلا روز پنجشنبه اعلام کرد که برنامهی پاداش در ازای اشکال خود را برای امنیت سرویسهای مبتنی بر وب مجدداً راهاندازی کرده است. در حال حاضر به نفوذگران کلاه سفید اعلام شده است برای کشف هر نوع از آسیبپذیریها قرار است چقدر جایزه به آنها تعلق بگیرد.
به گزارش کمیته رکن چهارم،موزیلا از سال ۲۰۰۴ میلادی برنامهی پاداش در ازای اشکال خود را راهاندازی کرده است. در وهلهی اول این برنامه صرفاً بر روی نرمافزار موزیلا انجام میشد ولی پس از سال ۲۰۱۰ میلادی، سرویسهای مبتنی بر وب این شرکت نیز تحت پوشش قرار گرفت. این شرکت اعلام کرده از سال ۲۰۱۰ میلادی به بعد نزدیک به ۱.۶ میلیون دلار به محققان و نفوذگران کلاه سفید جایزه پرداخت کرده است ولی در ارتباطات خود متوجه شده مسائلی در کشف اینکه چه نقاطی بسیار آسیبپذیر هستند، بوجود آمده است.
یکی از مهندسان امنیتی موزیلا توضیح داد: «یک آسیبپذیری فرضیِ تزریق SQL در Bugzilla نسبت به آسیبپذیری اسکریپت بین-وبگاهی (XSS) سطح متفاوتی از آسیبپذیریها را برای موزیلا نمایش میدهد. کاشفان آسیبپذیری به این مسئله که نوع و سطح آسیبپذیری چیست توجهی نمیکنند. آنها صرفاً میخواهند بدانند برای یک آسیبپذیری مشخص بر روی یک وبگاه چقدر جایزه قرار است دریافت کنند.»
شرکت موزیلا تصمیم گرفته تعداد وبگاهها و نوع آسیبپذیریهایی که قرار است پوشش داده شود را گسترش دهد و اعلام کرده با مشخص کردن جزئیات پرداختیها به هر آسیبپذیری تا حدودی شفافیت را در برنامهی پاداش در ازای اشکال خود افزایش داده است. بهطور مثال اگر محققی بر روی یکی از وبگاههای حیاتی یک آسیبپذیری اجرای کد از راه دور کشف کند، میتواند ۵ هزار دلار جایزه بگیرد در حالیکه این مقدار برای آسیبپذیری تزریق SQL و یا دور زدن احراز هویت برابر با ۳ هزار دلار است. برای دیگر آسیبپذیریها مانند CSRF و XSS و XXE سقف جایزهای که در نظر گرفته شده ۲۵۰۰ دلار است.
مهندس موزیلا در توضیحات خود اشاره کرد ارائهی جزئیات جوایز به محققان و نفوذگران کلاه سفید کمک میکند تا باتوجه به پرداختیها زمان و تلاش خود را به کار بگیرند و بدانند با گزارش آسیبپذیری مشخص واقعاً چقدر قرار است جایزه دریافت کنند.
منبع:security week
