Awal pekan ini, Microsoft meluncurkan tiga program karunia bug. Para ahli keamanan yang menemukan kerentanan pada Windows 8.1 Preview dan di Internet Explorer 11 akan dihargai dengan $ 100.000 (€ 75.500), masing-masing $ 11.000 (€ 8,300).
Para peneliti yang datang dengan ide-ide defensif efisien yang menemani kualifikasi Mitigasi Bypass pengiriman akan dihargai dengan $ 50.000 (€ 37.800).
Kami telah mengulurkan tangan untuk beberapa ahli yang telah melaporkan kerentanan ke Microsoft untuk mencari tahu apa yang mereka pikirkan dari program karunia bug baru.
"Saya senang melihat update program resmi baru. Aturan-aturan yang rumit, ruang lingkup secara resmi diberikan dan pedoman yang sangat baik. Mereka juga memiliki tim yang hebat dari hakim untuk memproses verifikasi - seperti Brandon, Nate dan juga Jerman Mario Heidenreich, "kata Kerentanan Lab CEO Benjamin Kunz-Mejri kami.
"Saya yakin program ini akan diperpanjang segera dengan produk Microsoft lebih penting."
Selain itu juga memuji keputusan Microsoft, tetapi mereka juga berharap bahwa program karunia bug akan diperluas untuk memasukkan jenis lain lubang keamanan juga.
"Sangat menyenangkan bahwa Microsoft akhirnya melompat ke program karunia bug. Namun program ini terbatas pada bug perangkat lunak. Kita semua tahu bahwa dunia sedang bergerak menuju aplikasi web. Jadi, Microsoft harus memperluas program ini untuk aplikasi web, "kata Deepanker Verma, pemilik dan pendiri Techlomedia dan Hackingtricks,.
"Saat ini, Microsoft daftar peneliti keamanan ke halaman pengakuan nya. Tapi mengumumkan karunia bug untuk aplikasi web pasti akan membantu Microsoft dalam pembuatan aplikasi web aman. Meskipun, perusahaan memiliki Program karunia bug untuk bug perangkat lunak, tetapi pembayaran cukup baik untuk menarik peneliti keamanan, "tambahnya.
"Program karunia bug baru Its akan membantu dalam meningkatkan produk-produknya, membuat mereka lebih baik dan lebih aman. Saya berharap perusahaan akan memperluas program dan menambahkan layanan web dalam program ini. "
Rafay Baloch, peneliti keamanan dan pemilik rafayhackingarticles, setuju.
"The Microsoft bug bounty tidak berhubungan dengan website bug, itu hanya berkaitan dengan perangkat lunak bug. Jadi tidak banyak orang akan berpartisipasi di dalamnya. Dengan itu dikatakan, bagian yang paling menarik akan menjadi bug peramban, karena IE telah dipukuli banyak kali di masa lalu, itu akan menarik untuk melihat apakah seseorang dapat mematahkan itu sekali lagi, "ia berkomentar.
"Ini bagus untuk melihat Microsoft akhirnya membayar peneliti untuk kerentanan dalam produk perangkat lunak mereka, seperti Program Bounty Bug Chromium Google atau ZDI. Tapi secara pribadi saya akan mengatakan itu bisa saja lebih dingin (dan lebih baik) jika mereka telah menambahkan layanan web mereka ke dalam program, "kata peneliti keamanan Prakhar Prasad.
"Jumlah Reward di MS Bug Bounty tidak diragukan lagi pikiran membingungkan tapi mereka bisa berkurang jumlahnya dan diberikan kesempatan untuk pemburu bug web juga, dari pendapat pribadi saya keamanan web mereka tidak sampai tanda," kata Prasad.
"Google dan Facebook sedang bermain permainan yang baik, dengan memberikan kesempatan untuk perangkat lunak dan juga sebagai pemburu web bug mereka mendapatkan yang terbaik dari kedua dunia. Seperti biasa tidak ada yang bisa mengklaim keamanan 100%, itu selalu merupakan upaya masyarakat untuk membuat hal-hal yang aman. "
Peneliti keamanan Pakistan Mirza Baig Burhan juga berbagi pendapatnya pada program karunia bug baru Microsoft.
"Dalam pandangan saya, Microsoft telah memulai cara baru dengan menawarkan ini, namun para pejabat Microsoft harus menempatkan beberapa lampu pada tingkat keamanan web, seperti yang kita temukan kelemahan keamanan dengan hari kerja dan malam, mereka hanya menempatkan nama," jelasnya.
"Saya pribadi berpikir bahwa Microsoft harus meluncurkan Program Bounty Bug untuk [kerentanan website], karena mereka adalah perusahaan besar dari Google dan Facebook dalam hal pendapatan, sehingga mereka dapat membelinya. Atau mereka harus mengambil beberapa waktu dan membuat tim untuk menguji domain, "tambahnya.
"Karena Facebook membayar untuk XSS disimpan $ 3500, Google membayar $ 1000 +, bahkan perusahaan kecil membayar. Aku hanya mendapat $ 100 untuk melaporkan XSS untuk besnappy.com, sementara di sisi lain Microsoft hanya menempatkan nama peneliti di situsnya. Ini juga merupakan hal yang baik, tetapi hal yang memotivasi peneliti, adalah $, karena semua orang bekerja keras siang dan malam, sehingga ia / dia harus dihargai. "
Kami telah mengulurkan tangan untuk Microsoft untuk mengetahui apakah itu berencana menambah kerentanan web untuk program karunia bug dalam waktu dekat.
"Program-program baru membangun fokus kami investasi langsung dalam komunitas riset keamanan, dan kami akan mengevaluasi dan menentukan evolusi berikutnya kami program sebagai bagian dari upaya kami untuk terus membantu menjaga pelanggan aman," kata Dustin Childs, kelompok manajer komunikasi respon , Microsoft Trustworthy Computing.
Para peneliti yang datang dengan ide-ide defensif efisien yang menemani kualifikasi Mitigasi Bypass pengiriman akan dihargai dengan $ 50.000 (€ 37.800).
Kami telah mengulurkan tangan untuk beberapa ahli yang telah melaporkan kerentanan ke Microsoft untuk mencari tahu apa yang mereka pikirkan dari program karunia bug baru.
"Saya senang melihat update program resmi baru. Aturan-aturan yang rumit, ruang lingkup secara resmi diberikan dan pedoman yang sangat baik. Mereka juga memiliki tim yang hebat dari hakim untuk memproses verifikasi - seperti Brandon, Nate dan juga Jerman Mario Heidenreich, "kata Kerentanan Lab CEO Benjamin Kunz-Mejri kami.
"Saya yakin program ini akan diperpanjang segera dengan produk Microsoft lebih penting."
Selain itu juga memuji keputusan Microsoft, tetapi mereka juga berharap bahwa program karunia bug akan diperluas untuk memasukkan jenis lain lubang keamanan juga.
"Sangat menyenangkan bahwa Microsoft akhirnya melompat ke program karunia bug. Namun program ini terbatas pada bug perangkat lunak. Kita semua tahu bahwa dunia sedang bergerak menuju aplikasi web. Jadi, Microsoft harus memperluas program ini untuk aplikasi web, "kata Deepanker Verma, pemilik dan pendiri Techlomedia dan Hackingtricks,.
"Saat ini, Microsoft daftar peneliti keamanan ke halaman pengakuan nya. Tapi mengumumkan karunia bug untuk aplikasi web pasti akan membantu Microsoft dalam pembuatan aplikasi web aman. Meskipun, perusahaan memiliki Program karunia bug untuk bug perangkat lunak, tetapi pembayaran cukup baik untuk menarik peneliti keamanan, "tambahnya.
"Program karunia bug baru Its akan membantu dalam meningkatkan produk-produknya, membuat mereka lebih baik dan lebih aman. Saya berharap perusahaan akan memperluas program dan menambahkan layanan web dalam program ini. "
Rafay Baloch, peneliti keamanan dan pemilik rafayhackingarticles, setuju.
"The Microsoft bug bounty tidak berhubungan dengan website bug, itu hanya berkaitan dengan perangkat lunak bug. Jadi tidak banyak orang akan berpartisipasi di dalamnya. Dengan itu dikatakan, bagian yang paling menarik akan menjadi bug peramban, karena IE telah dipukuli banyak kali di masa lalu, itu akan menarik untuk melihat apakah seseorang dapat mematahkan itu sekali lagi, "ia berkomentar.
"Ini bagus untuk melihat Microsoft akhirnya membayar peneliti untuk kerentanan dalam produk perangkat lunak mereka, seperti Program Bounty Bug Chromium Google atau ZDI. Tapi secara pribadi saya akan mengatakan itu bisa saja lebih dingin (dan lebih baik) jika mereka telah menambahkan layanan web mereka ke dalam program, "kata peneliti keamanan Prakhar Prasad.
"Jumlah Reward di MS Bug Bounty tidak diragukan lagi pikiran membingungkan tapi mereka bisa berkurang jumlahnya dan diberikan kesempatan untuk pemburu bug web juga, dari pendapat pribadi saya keamanan web mereka tidak sampai tanda," kata Prasad.
"Google dan Facebook sedang bermain permainan yang baik, dengan memberikan kesempatan untuk perangkat lunak dan juga sebagai pemburu web bug mereka mendapatkan yang terbaik dari kedua dunia. Seperti biasa tidak ada yang bisa mengklaim keamanan 100%, itu selalu merupakan upaya masyarakat untuk membuat hal-hal yang aman. "
Peneliti keamanan Pakistan Mirza Baig Burhan juga berbagi pendapatnya pada program karunia bug baru Microsoft.
"Dalam pandangan saya, Microsoft telah memulai cara baru dengan menawarkan ini, namun para pejabat Microsoft harus menempatkan beberapa lampu pada tingkat keamanan web, seperti yang kita temukan kelemahan keamanan dengan hari kerja dan malam, mereka hanya menempatkan nama," jelasnya.
"Saya pribadi berpikir bahwa Microsoft harus meluncurkan Program Bounty Bug untuk [kerentanan website], karena mereka adalah perusahaan besar dari Google dan Facebook dalam hal pendapatan, sehingga mereka dapat membelinya. Atau mereka harus mengambil beberapa waktu dan membuat tim untuk menguji domain, "tambahnya.
"Karena Facebook membayar untuk XSS disimpan $ 3500, Google membayar $ 1000 +, bahkan perusahaan kecil membayar. Aku hanya mendapat $ 100 untuk melaporkan XSS untuk besnappy.com, sementara di sisi lain Microsoft hanya menempatkan nama peneliti di situsnya. Ini juga merupakan hal yang baik, tetapi hal yang memotivasi peneliti, adalah $, karena semua orang bekerja keras siang dan malam, sehingga ia / dia harus dihargai. "
Kami telah mengulurkan tangan untuk Microsoft untuk mengetahui apakah itu berencana menambah kerentanan web untuk program karunia bug dalam waktu dekat.
"Program-program baru membangun fokus kami investasi langsung dalam komunitas riset keamanan, dan kami akan mengevaluasi dan menentukan evolusi berikutnya kami program sebagai bagian dari upaya kami untuk terus membantu menjaga pelanggan aman," kata Dustin Childs, kelompok manajer komunikasi respon , Microsoft Trustworthy Computing.
0komentar:
Post a Comment