周三,旅游搜索网站 Skyscanner 推出公开漏洞奖励计划,每个漏洞的最高奖励为2000美元。

Skyscanner 一直在运行私密的漏洞奖励计划,据称已经解决了系统中的200多个漏洞。该公司目前决定将漏洞奖励计划公开。

该漏洞奖励计划通过众筹安全平台 Bugcrowd 运行,覆盖 skyscanner.net 网站和区域域名、gateway.skyscanner.net API、iOS 和安卓应用以及 partnerportal.skyscanner.net 网站。其它子域名并不在范围内。

该公司尤其关注影响其服务的用户资料、预定和合作伙伴门户的漏洞情况,不过向研究人员表示要使用测试账户且警告称不要修改或访问任何用户数据。

最高的漏洞奖励是1500美元至2000美元,类别涵盖严重的服务器安全配置错误、服务器端注入缺陷、崩溃的认证问题、敏感的数据泄漏问题以及和加密相关的问题。

Skyscanner 表示,“在某些情况下,将根据发生的可能性或影响将修改漏洞的优先级。如果某个漏洞被降级,则会给出研究人员完整的详细解释报告,以及给予他们上诉的机会并提出更高优先级的案例。”

所有的黑客活动必须包括一个特殊标题,必须使用测试账户且测试必须限定在资产范围内。如果研究人员的提交报告是有效的但并未遵守这些规则,则会面临10%的罚款。

本文由360代码卫士翻译自SecurityWeek

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。