pima
02.11.2010, 15:05
Von leet zu eleet: Google dehnt sein Security Bug Bounty Program aus und bläst nun zum Angriff auf seine Webanwendungen. Gleichzeitig erhöht Google dort die höchste zu erreichende Prämie auf 3133,7 US-Dollar. Bisher galt des Programm nur für Lücken im Webbrowser Chrome; die höchste zu erreichende Prämie liegt dort von seltenen Ausnahmefällen abgesehen zwischen 500 und 1337 US-Dollar.
Das neue Programm umfasst alle Google-Dienste, die in den Domains google.com, youtube.com, blogger.com und orkut.com laufen. Insbesondere das Finden von Cross-Site-Scripting-, Cross-Site-Request-Forgery- und Cross-Site-Script-Inclusion-Lücken soll im Fokus stehen. Aber auch das Austricksen oder Umgehen von Authentifizierungs- und Autorisierungsfunktionen sollen Sicherheitsforscher aufs Korn nehmen.
Ausgenommen von der Schwachstellensuche sind Googles Unternehmensinfrastruktur, Social-Engineering-Attacken, Denial-of-Service-Schwachstellen und betrügerische Suchmaschinen-Optimierungsmanipulationen. Um die Verfügbarkeit der Dienste nicht zu beeinträchtigen, bittet Google darum, keine automatisierten Tests auf seine Server durchzuführen. Zudem sind Googles Software-Produkte Android, Picasa und Google Desktop weiterhin nicht Bestandteil des Fehlersuchprogramms.
Die höchste Prämie von 3133,7 US-Dollar gibt es nur für besonders clevere oder ungewöhnliche Lücken respektive Angriffe. Weitere Einzelheiten über die Modalitäten des Programms finden sich im Google Security-Blog. Google erhofft sich von dem Schritt, seine Dienste sicherer zu machen.
Quelle (http://www.heise.de/newsticker/meldung/Bis-zu-3133-7-US-Dollar-fuer-Luecken-in-Google-Diensten-1128741.html)
Ja dann mal los ^^
Das neue Programm umfasst alle Google-Dienste, die in den Domains google.com, youtube.com, blogger.com und orkut.com laufen. Insbesondere das Finden von Cross-Site-Scripting-, Cross-Site-Request-Forgery- und Cross-Site-Script-Inclusion-Lücken soll im Fokus stehen. Aber auch das Austricksen oder Umgehen von Authentifizierungs- und Autorisierungsfunktionen sollen Sicherheitsforscher aufs Korn nehmen.
Ausgenommen von der Schwachstellensuche sind Googles Unternehmensinfrastruktur, Social-Engineering-Attacken, Denial-of-Service-Schwachstellen und betrügerische Suchmaschinen-Optimierungsmanipulationen. Um die Verfügbarkeit der Dienste nicht zu beeinträchtigen, bittet Google darum, keine automatisierten Tests auf seine Server durchzuführen. Zudem sind Googles Software-Produkte Android, Picasa und Google Desktop weiterhin nicht Bestandteil des Fehlersuchprogramms.
Die höchste Prämie von 3133,7 US-Dollar gibt es nur für besonders clevere oder ungewöhnliche Lücken respektive Angriffe. Weitere Einzelheiten über die Modalitäten des Programms finden sich im Google Security-Blog. Google erhofft sich von dem Schritt, seine Dienste sicherer zu machen.
Quelle (http://www.heise.de/newsticker/meldung/Bis-zu-3133-7-US-Dollar-fuer-Luecken-in-Google-Diensten-1128741.html)
Ja dann mal los ^^