發現信箱漏洞只給12.5美元禮券，Yahoo被噓！

High-Tech Bridge提報了3個可以感染雅虎信箱任一使用者的XSS漏洞，Yahoo則在48小時內認可了其中的兩個漏洞，然後各提供一組12.5美元的Yahoo企業商店禮券作為回報。於是，High-Tech Bridge決定不再繼續研究Yahoo的安全漏洞。

專門提供安全服務與滲透測試的High-Tech Bridge在周一（9/30）揭露，Yahoo最近認可了他們所提交的兩個網站漏洞，然後每個漏洞只支付12.5美元的賞金，而且是Yahoo企業商店的禮券，還不是現金。

不少科技大廠都有提供抓漏獎勵，包括Google、微軟或Facebook。但最近，一名巴勒斯坦研究人員Khalil Shreateh所提交的漏洞被Facebook駁回，憤而透過該漏洞在Facebook創辦人Mark Zuckerberg的塗鴉牆上陳情，Facebook之後解釋是因雙方溝通不良，而且Shreateh實際攻擊了該漏洞違反了該站的使用條款與獎勵規定，最終Shreateh仍未取得Facebook的抓漏獎金。

High-Tech Bridge表示，此事讓安全研究人員與企業之間的關係浮上了檯面，也讓他們決定透過Yahoo進行一項小型實驗，試探Yahoo回應安全漏洞提報的態度與速度。

該公司花了45分鐘就找到了1個XSS的網頁漏洞，提報後Yahoo在24小時內回覆，但表示已有人搶先一步提交了該漏洞。隨後High-Tech Bridge再提報了3個XSS漏洞，這三個XSS漏洞，只要利用任何一個漏洞，然後寄一個假造的連結給已登入雅虎信箱的任一使用者，讓使用者點擊，就可以感染使用者信箱。

Yahoo則在48小時內認可了其中的兩個漏洞，然後各提供一組12.5美元的Yahoo企業商店禮券作為回報。於是，High-Tech Bridge決定不再繼續研究Yahoo的安全漏洞。

Yahoo企業商店專門銷售各種有Yahoo標誌的紀念商品，包括原子筆、T恤、鑰匙圈或筆記本等。

High-Tech Bridge執行長Ilia Kolochenko指出，Yahoo應該要修正該公司與安全研究人員之間的關係，每個漏洞支付十幾美元是個冷笑話，而且無法激勵他人回報安全漏洞，特別是這些漏洞還很容易在黑市以高價賣出。

Kolochenko還說，金錢並不是安全研究人員的唯一動機，這是為什麼Google除了提供高額的獎賞外，還替提報漏洞的安全研究人員設計了名人榜，如果Yahoo不想花錢來保障企業安全，至少應該以其他的方式來吸引安全研究人員，否則Yahoo的客戶將沒有安全可言。

雖然微軟、Google或Facebook提供較高的抓漏獎金，但皆有產品或漏洞等級的限制。例如微軟針對Windows 8.1提出最高10萬美元的抓漏獎勵，也曾針對IE 11提出每個漏洞價值1.1萬美元的賞金；Google的抓漏獎金範圍則從100美元～2萬美元不等，視漏洞所牽涉的服務重要性與嚴重程度而定，例如若是在較不重要的Google網站上發現XSS漏洞的獎金只有100美元，若是在Google帳號登入頁面、重要服務或Google程式上發現遠端攻擊漏洞的賞金即高達2萬美元；至於Facebook的也會視漏洞嚴重程度發予賞金，最少是500美元。（編譯/陳曉莉）
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第351波大放送) : 人人回帖有獎勵
(第350波大放送) : 人人回帖有獎勵
(第349波大放送) : 人人回帖有獎勵
(第348波大放送) : 人人回帖有獎勵
(第347波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>


★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★                          **以上報告完畢**                          ★
★     如果可以的話,幫我評個分數或是送一多花給我^^          ★
★     您的評分與鮮花,是我下次再發帖的原動力                   ★
★                                 謝謝~                                   ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

====================================================
                                                                                   2013/10/02 By 游幃翔