7月24日,趋势科技 ZDI 宣布推出针对性激励计划 (Targeted Incentive Program, TIP),将于8月1日正式启动。
除了微软 Windows Server 2016 外,TIP 主要为开源的服务器端产品中的漏洞支付赏金。
如果赏金猎人通过模糊器和利用代码能够在下表所显示的目标平台上率先利用此前未曾发现过的 bug,将获得奖赏。
目标 | 操作系统 | 赏金(美元) | 竞争开放日期 |
Joomla | Ubuntu Server 18.04 x64 | $25,000 | 2018年8月至2018年9月 |
Drupal | Ubuntu Server 18.04 x64 | $25,000 | 2018年8月至2018年9月 |
WordPress | Ubuntu Server 18.04 x64 | $35,000 | 2018年8月至2018年10月 |
NGINX | Ubuntu Server 18.04 x64 | $200,000 | 2018年8月至2018年11月 |
Apache HTTP Server | Ubuntu Server 18.04 x64 | $200,000 | 2018年8月至2018年12月 |
Microsoft IIS | Windows Server 2016×64 | $200,000 | 2018年8月至2019年1月 |
ZDI 表示所列目标被攻陷后,将会从列表中删除然后用新的替换。
白帽黑客如果提供的是无害的 PoC 演示,无法获得奖金;TIP 要求提供影响“所列目标核心代码”的 0day 漏洞的完全起作用的利用代码。
同时,获得奖金的攻击者必须能挫败各种缓解措施,包括沙箱、地址空间分布随机化、操作系统的保护措施等等;另外,漏洞还必须能够引发任意代码执行问题。所报告的缺陷问题将被提交给供应商修复。
本文由360代码卫士翻译自TheRegister
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。