ሞዚላ ኩባንያ በፋየርፎክስ ውስጥ ያሉ የደህንነት ችግሮችን ለመለየት የገንዘብ ሽልማቶችን ለመክፈል ተነሳሽነት ስለማስፋፋት. ከቀጥታ ተጋላጭነቶች በተጨማሪ የBug Bounty ፕሮግራም አሁን ይሸፍናል። ብዝበዛ እንዳይሰራ የሚከለክሉ ዘዴዎችን በአሳሹ ውስጥ ማለፍ።
እንደነዚህ ያሉ ዘዴዎች በልዩ አውድ ውስጥ ከመጠቀምዎ በፊት የኤችቲኤምኤል ቁርጥራጮችን የማፅዳት ስርዓት ፣ ማህደረ ትውስታን ለ DOM ኖዶች እና ሕብረቁምፊዎች / ArrayBuffers መጋራት ፣ በስርዓት አውድ ውስጥ ኢቫል ()ን መከልከል እና የወላጅ ሂደትን መከልከል ፣ የ CSP (የይዘት ደህንነት ፖሊሲ) ገደቦችን በአገልግሎት ላይ መተግበርን ያካትታሉ ። about" pages :" ከ"chrome://", "resource://" እና "about:" በወላጅ ሂደት ውስጥ ያሉ ገፆችን መጫን መከልከል፣ በወላጅ ሂደት ውስጥ የውጫዊ ጃቫ ስክሪፕት ኮድ መፈፀምን መከልከል፣ ልዩ መብቶችን ማለፍ መለያየት ዘዴዎች (በይነገጽ አሳሹን ለመገንባት የሚያገለግል) እና ያልተፈቀደ የጃቫ ስክሪፕት ኮድ። ለአዲስ ክፍያ ክፍያ ብቁ የሚሆን ስህተት ምሳሌ፡- በድር ሰራተኛ ክሮች ውስጥ ኢቫል()ን በመፈተሽ ላይ።
ተጋላጭነትን በመለየት እና የብዝበዛ ጥበቃ ዘዴዎችን በማለፍ ተመራማሪው ከመሠረታዊ ሽልማቱ 50% ተጨማሪ ማግኘት ይችላሉ። ለተለየ ተጋላጭነት (ለምሳሌ፣ ለ UXSS ተጋላጭነት ን የሚያልፍ 7000 ዶላር ሲደመር የ$3500 ቦነስ ማግኘት ትችላለህ)። የገለልተኛ የተመራማሪ ማካካሻ መርሃ ግብር መስፋፋት ከቅርብ ጊዜ ዳራ አንፃር መምጣቱ ትኩረት የሚስብ ነው። 250 የሞዚላ ሰራተኞች, በእሱ ስር ክስተቶችን በመለየት እና በመተንተን ላይ የተሳተፈው መላው የዛቻ አስተዳደር ቡድን፣ እንዲሁም የደህንነት ቡድን.
በተጨማሪም የጉርሻ ፕሮግራሙን በምሽት ግንባታዎች ላይ ለተለዩ ተጋላጭነቶች የመተግበር ደንቦች መቀየሩ ተዘግቧል። እንደነዚህ ያሉ ተጋላጭነቶች ብዙውን ጊዜ በውስጣዊ አውቶሜትድ ፍተሻዎች እና በድብቅ ፍተሻዎች ወቅት ወዲያውኑ እንደሚገኙ ልብ ሊባል ይገባል። የእንደዚህ አይነት ስህተቶች ሪፖርቶች በፋየርፎክስ ደህንነት ላይ መሻሻሎችን አያመጡም ወይም የፍተሻ ሙከራ ዘዴዎች ስለዚህ በምሽት ግንባታ ውስጥ ለተጋላጭነት ሽልማቶች የሚከፈሉት ችግሩ በዋናው ማከማቻ ውስጥ ከ 4 ቀናት በላይ ከሆነ እና በውስጣዊ ማንነት ካልተገለጸ ብቻ ነው ቼኮች እና የሞዚላ ሰራተኞች.
ምንጭ: opennet.ru