Kampuni ya Mozilla
Mbinu kama hizo ni pamoja na mfumo wa kusafisha vipande vya HTML kabla ya kutumika katika muktadha maalum, kushiriki kumbukumbu kwa nodi za DOM na kamba/ArrayBuffers, kukataza eval() katika muktadha wa mfumo na mchakato wa mzazi, kutumia vikwazo vikali vya CSP (Sera ya Usalama ya Maudhui) kwa huduma " kuhusu" kurasa :", inayokataza upakiaji wa kurasa zingine isipokuwa "chrome://", "resource://" na "kuhusu:" katika mchakato wa mzazi, kukataza utekelezwaji wa msimbo wa JavaScript wa nje katika mchakato wa mzazi, kupitisha upendeleo. njia za utenganisho (zinazotumika kuunda kivinjari cha kiolesura) na msimbo wa JavaScript usio na haki. Mfano wa hitilafu ambayo inaweza kuhitimu malipo ya ujira mpya ni:
Kwa kutambua hatari na kupuuza mbinu za ulinzi wa unyonyaji, mtafiti ataweza kupokea 50% ya ziada ya zawadi ya msingi,
Kwa kuongezea, inaripotiwa kuwa sheria za kutumia mpango wa fadhila kwa udhaifu unaotambuliwa katika ujenzi wa usiku zimebadilika. Ikumbukwe kwamba udhaifu huo mara nyingi hugunduliwa mara moja wakati wa ukaguzi wa kiotomatiki wa ndani na majaribio ya fuzzing. Ripoti za hitilafu kama hizo hazileti uboreshaji wa usalama wa Firefox au mifumo ya majaribio ya fuzz, kwa hivyo malipo ya udhaifu katika ujenzi wa kila usiku yatalipwa tu ikiwa shida imekuwepo kwenye hazina kuu kwa zaidi ya siku 4 na haijatambuliwa na kampuni ya ndani. hundi na wafanyakazi wa Mozilla.
Chanzo: opennet.ru