網路及軟體大廠過去透過抓漏獎金提升產品安全性;然而漏洞也愈來愈難抓。近日微軟及Google雙雙宣佈提高軟體抓蟲獎金。
微軟日前宣佈最新一次Office 365抓臭蟲獎勵方案。從2017年3月1日到5月1日經由Microsoft Office 365及Exchange Online上傳回報Office 365產品且經過核可的漏洞,抓蟲獎金將由現行最低500、最高15,000美元再翻倍,最高上看30,000美元。
本次方案涵括微軟產品及服務,像是Microsoft Office入口網站、Office 365、Outlook.com、Office.com中的跨網站攻擊(XSS)、跨站呼叫偽造(CSRF)、非授權跨租戶資料竄改或存取、注入型漏洞、驗證漏洞、伺服器程式碼執行、權限升級及重大安全組態錯誤等漏洞。
巧合的是,Google也於周一針對Google.com、Youtube.com及blogger.com網域,Google開發的app、擴充程式及Google自有品牌硬體如OnHub與Net發佈類似的方案,獎金由100到20,000美元不等。
其中在難度最高的漏洞獎金都大幅增加。例如Google伺服器上的遠端程式碼執行漏洞,如指令碼注入、反序列化(Deserialization)漏洞,獎金由20,000提高為31,337美元,而檔案系統或資料庫無限制存取漏洞,如SQL資料隱碼攻擊或XML外部實體注入攻擊(XXE)漏洞,獎金也由10,000增加為13,337美元。.
從2010年啟動抓漏獎勵方案,Google迄今已發出超過900萬美元獎金,光是去年就發了300萬。