为什么要花钱?
我们致力于确保用户的安全,长期以来一直依靠我们的社区向我们报告安全漏洞。 。对于我们从名人堂中列出的人员以及过去在其他次要方面为我们提供帮助的其他人员所提供的所有帮助,我们深表感谢。但是,对于我们来说,很明显,这个过程还不够-公司向安全研究人员提供奖励已变得司空见惯,而且许多顶级安全研究人员自然会将时间花在提供报酬的网站上。这就是为什么我们认为有必要开始向那些奉献时间以负责任的方式报告这些漏洞来帮助我们的开发工作的人提供奖励。我们觉得没有为这些报告提供金钱奖励,这使我们似乎不太在乎用户对我们的用户和黑客社区的安全性。
您提供多少?
不熟悉HackerOne的人,根据我们安全团队确定的漏洞的严重程度,您可以获得不同的收入。我们仍在确定确切的金额,但我们可能会从频谱的较低端开始(想想:数百美元,而不是数千美元)。这是我们将程序组合在一起并进行测试时需要评估的事情之一。
您最终实现了Hacker徽章吗?
也许。为报告漏洞的人员颁发徽章的想法已经提出,但是我们还没有决定。我们计划稍后再发表有关潜在徽章的单独元文章。请在本次讨论中不要集中讨论徽章的潜力,因为我们想先收集有关程序本身的信息。
我仍然可以赃物吗?
可能不会。我们之前曾向举报严重漏洞的用户提供网站赃物。目前,我们正在考虑将现金奖励代替赃物。将来可能会同时提供这两种服务,但就目前而言,提供赃物和现金只会使奖励赏金的复杂性加倍。
您有实施时间表吗?
获得反馈后,我们会可能始于HackerOne上的私人Beta版,该受邀用户以前曾向我们报告过漏洞,导致某些问题得到了修复,尤其是在我们的名人堂列表中。我们将在解决问题,响应反馈,调整程序规则等方面以波浪式的方式扩展此列表。私有Beta最初的范围非常有限(仅从Enterprise演示站点开始),并扩展到完整我们可以对系统有所了解。
我可以注册私人Beta吗?
您绝对可以!您可以填写此表单以进入要考虑的列表。如上所述,之前曾向我们报告过漏洞的用户将获得加入私有Beta的优先权。然后,我们将选择已确定具有安全研究背景的用户,然后是其他用户。鉴于私人测试版可能会在很短的时间内运行,因此并非所有填写表格的人都能保证在程序最终公开之前进入私人测试版。
您想要什么反馈?
没事我们意识到我们的社区在很大程度上取决于用户免费提供的努力,以这种方式开始以金钱方式奖励用户似乎破坏了Meta的精神和过去的流程。但是,我们希望我们采用此选项的理由是明确和有根据的,最重要的是,我们希望我们的用户加入我们。
如果您对我们遗漏的任何东西或您想要的东西有任何其他疑问要指出,请随时分享您的想法。
#1 楼
对于上下文:我是一个人(A)喜欢从Stack Exchange网络中脱颖而出,(B)非常感谢别人认真对待(我)数据安全性,并且(C)可以很好地进行编程,但是远远不及评估安全漏洞所需的级别(即,我自己永远不会获得这些奖励之一)。我认为这是一个绝妙的主意。
站点安全是IMO ,“ meta-meta”。它比Meta.SE本身上发生的站点网络内部策略讨论/决定高出至少一层。从某种意义上说,它还可以更深入地渗透(渗透到?)Stack Exchange系统,因为它有可能以非常直接的方式影响在线和离线站点用户的生活。向对站点网络的安全做出重大贡献的个人提供金钱奖励似乎是完全适当和谨慎的。
#2 楼
这是一个很棒的主意。正如我在上面的评论中提到的那样,安全社区已经提出了很长一段时间的要求,这无疑将为平台的整体安全性做出巨大贡献(如果有任何发现和发现,可能会对整个安全研究社区做出巨大贡献,并且已发布)。我相信您已经收到了此建议,但值得重申和强调:仅在经过严格的内部审查(包括威胁建模,代码审查,静态/动态分析)之后,才能启动公共漏洞赏金计划。 ,等等。
我希望悬赏赏金并鼓励这样做,如果尚未完成上述步骤,我敦促您重新考虑并推迟到以后。我相信,Security.SE社区会很乐意推荐优秀的候选人来做上述事情,我对此很熟悉。
而且,如果已经完成了-赞!我期待挑战!!
评论
您能解释一下为什么不应该在这些事情之后开始吗?
–马特斯曼
17年6月21日在10:04
@Matsemann我认为这将至少部分地是通过避免非SO错误发现者提交数十个有资格获得奖励的票证来最大程度地减少该计划对SO的早期财务影响。
– hBy2Py
17年6月21日在12:50
@Matsemann就像hBy2Py所说,也是因为您不希望在执行适当的安全保证流程之前向自己扔一个(甚至更大的)目标。错误赏金计划不能替代它。归结为降低风险,并通过漏洞赏金计划来管理残留。在进行火灾试验之前,应确保系统足够成熟以应对损坏。
–恢复莫妮卡
17年6月21日在13:42
#3 楼
尽管我不能否认Bug赏金的想法,但有证据表明,即使经过相当长的一段时间,此类程序中的许多站点仍保留了重要的Bug。因此,我想说说让一家应用程序安全测试公司首先提出建议并加以实施(声明,尽管我对网络应用程序进行安全性测试,但我不建议这样做。)Bug Bounties通常还排除诸如社交工程,和组织中的流程失败。您可能已经在其他地方介绍过这些内容,但是业务流程应该放在“其他任何内容”之前。
我的宠物讨厌:
赏金赏金排除了网站所有者尚未清理的许多问题。
经典的是HTTP相关的安全标头(例如CSP,HSTS)或cookie标志,由securityheaders.io或Hardenize或Immuniweb涵盖。同样,Burp-Suite在扫描的前几毫秒会吐出这种东西。
meta.stackexchange.com在Immuniweb上获得C
meta.stackechange.com在securityheaders.io上获得F。 br /> Hardenize有一些建议(DNSSEC),但实际上并没有太大帮助。
这些是重要的防御措施,漏洞赏金通常会在允许自动报告的情况下将其排除在外,并且通常属于最佳做法,而不是一种特定漏洞。因此,要么没有报告,要么没有报告这些漏洞的奖励,所以这些漏洞将不会得到报告。例如,您在meta.stackexchange.com上进行了严格的运输安全性(最大寿命很短!!!) ,但您不包括子域,因此,如果攻击者可以访问网络,则他可以创建“ hackme.meta.stackexchange.com”(因为DNS通常是不安全的,所以您肯定是这样),并且可以访问最终用户的Cookie (顺便说一句,所有这些都缺少安全标志,因此当严格传输安全性无效时,所有游戏都是通过这种方式被盗的。)
通常,Bug Bounties会排除此类报告。这不是错误赏金计划的错,但也许在您开始之前就应该对它们有所了解。
因此,我经常看到在错误赏金计划中可以破坏TLS保护的网站,但是我最终是通过支持而不是漏洞赏金计划来报告它的,因为赏金计划想要聪明而新颖的东西,而还没有完成“简单”的工作。还是有很多好的做法被遗漏了,通常也被漏洞赏金计划所排除。
如果有疑问,请复制github.com所做的事情。 GitHub上甚至有一个非常不错的博客。
对“如何破解meta.stackexchange.com用户cookie的道歉”,但是任何有能力的人都不需要提示,因为他们已经知道怎么做这种事情。
评论
感谢您的投入和有趣的威胁情景。我知道这并不能解决您帖子的核心问题,但是如果您好奇的话,Nick Craver在博客中有关推出HTTPS的博客中讨论了HSTS max-age当前如此之低且未包含子域的原因。 ,他在这里简要介绍了其中一些安全标头。
–杰里米
17年6月21日在17:33
仅供参考,Meta上已经存在功能请求以启用CSP。
–
17年6月22日在9:24
谢谢杰里米(Jeremy),我回想起亚历克(Alec)在他在Facebook时所说的一切都变得更加困难。看起来您基本上已经对重定向进行了排序,并且如果没有重大问题,则可以将max-age提高。也没有人提到“最大年龄0”
–西蒙
17年6月22日在10:57
#4 楼
许多国家/地区都有某种形式的“计算机滥用”法律,这些法律有可能使发现漏洞所需的某种活动非法。我不知道Stack Overflow与HackerOne合作是否自动涵盖了这一点(即通过这样做,SO可以有效地使人们获得“黑客入侵的权限” 1),但这是您需要考虑的领域吗?___
1大概是在此类情况并非旨在造成伤害的情况下,将及时报告。
评论
Security Stack Exchange的社区已与Shog和其他人进行了讨论。我认为SE非常了解跨不同司法管辖区的含义,并且他们知道如果有任何具体问题可以与我们联系。
–Rory Alsop
17年6月23日在8:24
#5 楼
向前迈出了一大步。几乎所有大型公司,例如Facebook,Google Yahoo,Apple等,都具有漏洞赏金计划,可帮助他们确保网站安全。为什么SE在这件事上这么晚?与此同时,您是否有计划进行诸如挑战之类的黑客杯?
我有一些问题
您将如何对举报安全漏洞的人员采取严厉措施?社区?
他们还会得到赏金吗?
area51在该程序的范围内还是超出范围?
您是否提供测试帐户(例如facebook)以便执行与用户帐户相关的操作,还是我们必须使用社区用户?
beta表单需要我们的堆栈交换用户ID。这意味着仅SE用户可以使用Beta。将来会是什么?只允许SE成员?还是允许外人?
评论
为了有资格获得付款,您必须遵循道德的黑客行为和负责任的举报准则-您始终可以创建一个袜子木偶来测试安全问题,而不是在必要时对真实用户进行测试。我们最初的范围将仅从演示企业实例开始,然后再扩展到所有Stack Exchange站点,但是对于是否将包括Area 51而言,我并不是100%的(我想会包括在内)。 Stack Exchange用户的限制仅适用于私有Beta。该计划公开后,任何人都可以参加,无论他们是我们的成员。
– animuson♦
17年6月22日在14:13
因此,将会有一个针对私人Beta版用户的演示企业网站。对@animuson
–Optimus Prime
17年6月22日在14:18
该演示已经存在:demo.stackenterprise.co-那里不会向用户提供帐户。想法是看用户是否可以使用它(由于这是一种仅供内部使用的付费产品,因此用户能够访问它是一个非常严重的问题),开始解决其他与访问无关的安全问题方式,然后衡量从有限范围内获得了多少活动,以便我们更好地计划范围的扩大。
– animuson♦
17年6月22日在14:21
呵呵,很高兴看到企业版的一瞥。现在,我实际上意识到企业级产品是我想知道的事情,关于谁在使用该产品以及用于什么用途的任何地方是否存在任何(极其粗糙的)统计数据。我想不难找到对像SO这样完善的(IMO)内部知识库系统的需求。
– i336_
17年6月29日在2:02
评论
我在名人堂,我是否需要填写被邀请的表格,因为这对我来说不是100%清晰的。@rene我相信我们将手动到达名人堂,但填写表格也不会受到伤害。 ;)如果是电子邮件,我们不必发送给您询问您的HackerOne URL。
好的,我也会采取无伤大雅的路线,只是为了确保,谢谢!
WRT的确切定价决定,我的直觉(不是基于任何严格的逻辑或客观原则)是,对于潜在漏洞的报告而言,数百美元可能是可以接受的(在这种情况下,报告员实际上无法设法消除任何数据或获取任何数据)未经授权的行为,但要么证明在某些不太可能的情况下可能会发生这种情况,要么只是发现未遵循某些安全最佳实践),但任何实际成功的渗透都应获得数千美元的丰厚报酬。 >
此问题在“相关”列表中,但可能应该“链接”:我应该在meta上报告严重的安全问题吗?。
如果用户出于某种原因更喜欢代表而不是钱该怎么办?
@JohnMiliter Rep在网络中具有特定含义。作为基础设施问题的安全问题实际上是在网络外部。对我而言,获得帮助提高站点安全性的代表似乎是一个类别错误。
好极了!信息安全领域的专家一直在要求这样做,例如meta.stackexchange.com/q/277737/135923,而第一次恰好是5年前:D security.meta.stackexchange.com/a/814 / 33
只是一个建议:显示用户遇到了哪些漏洞问题(如GitHub如今的情况)将很有趣。
只是一个问题..-为什么原来的问题在16年3月31日由Rory提出(问题ID:277737)被标记为重复项?因为先被问到,为什么不将他的问题“转换”为主要问题。由于要求的日期,我只把他的优先权放在这一位。根本不看内容。我个人认为这对罗里来说是不公平的,因为大约一年零三个月前他被问到了。当然,内容比要求的日期重要得多,这就是为什么我想知道。为什么不只是“合并”或将他的问题编辑为更合适的格式。
@Paramone对于我们来说,劫持另一个用户的帖子来发布这样的公告将是很奇怪的。另外,过去有一个怪异的错误,必须在过去14天内创建精选的MSE帖子才能出现在整个网络的社区公告中,我不知道该问题是否得到解决。
用钱代替销售代表使您似乎觉得您的核心用户中找不到相关的专业知识。
要明确-是网站SE网络的安全漏洞,还是一般的漏洞?
@Benjol就个人而言,提供rep的想法从未出现过,因为这似乎违反了rep系统,我希望它确实会惹恼很多用户。
@Benjol一点也不。金钱绝对是正确的选择,因为它确实具有价值。被代表“支付”将是侮辱性的。