Max Home IndustryИсправив несколько ошибок в своем рекламном коде внутри компании, Facebook надеется привлечь хакеров whitehat, чтобы они раскрыли еще какие-то скрытые ошибки. С этого момента и до конца года он будет выплачивать двойные выплаты за ошибки в рекламе.
Объявляя о стимуле сосредоточиться на рекламном коде, а не на более общих частях кода Facebook, Колин Грин отмечает:
На этом этапе нашей программы поощрения ошибок мы редко видим многие из распространенных ошибок веб-безопасности, таких как XSS. Чаще всего мы видим такие вещи, как отсутствие или неправильные проверки разрешений, недостаточное ограничение скорости, которое может привести к очистке, краевые проблемы CSRF и проблемы с SWF.
Он также приводит несколько примеров ошибок, которые уже были исправлены в рекламе:
Использование одного и того же рекламного купона несколько раз без истечения срока действия.
Получение имени неопубликованной страницы с помощью процесса создания рекламы путем угадывания ее идентификатора страницы.
Произвольный локальный файл, читаемый через символическую ссылку .zip.
Внедрение JavaScript в электронное письмо с отчетом о рекламе, а затем использование ошибки CSRF, чтобы жертва отправила вредоносное электронное письмо цели от вашего имени.
В другом посте «Руководство для охотников за головами по Facebook» Колин Грин дает обновленные инструкции о том, как отправлять сообщения об ошибках, чтобы претендовать на вознаграждение. Это стоит внимательно прочитать, если вы новичок в программе Facebook Bug Bounty. Обнадеживающий момент идет вверху:
С момента запуска нашей программы поощрения ошибок в 2011 году исследователи заработали более 3 миллионов долларов, помогая нам сделать Facebook более безопасным.
Так что, учитывая, что в настоящее время предлагаются двойные награды, стоит изучить рекламу более внимательно, чем обычно.