Обкатав
программу вознаграждений за найденные уязвимости на браузере Chromium, компания Google решила распространить её
на все свои продукты. Теперь можно получить от $500 до $
3133,7 за найденные баги в
- *.google.com
- *.youtube.com
- *.blogger.com
- *.orkut.com
Программа вознаграждений не действует только для клиентских приложений (Android, Picasa, Google Desktop и проч.), а так всё остальное в неё включено, в том числе Gmail, Youtube и Google Docs.
На оплату могут претендовать все серьёзные баги, особенно
- XSS
- XSRF / CSRF
- XSSI (cross-site script inclusion)
- Обход авторизации (User A получает доступ к приватным данным User B)
- Исполнение кода на стороне сервера внедрение кода
Сообщать о найденной уязвимости можно
здесь. Под программу вознаграждений не подпадают баги в технологиях, недавно приобретённых Google, методы чёрной SEO-оптимизации, атаки с помощью социальной инженерии, DoS-атаки и тому подобное.
Заметим, что кроме Google только
Mozilla платит за найденные баги в своих продуктах. Ни Microsoft, ни Adobe, ни Oracle не делают этого. Впрочем, с недавнего времени покупкой информации о свежих уязвимостях занимаются также TippingPoint (программа
Zero Day Initiative) и VeriSign (программа
iDefense), хотя их тарифы вряд ли дотягивают до тех, какие предлагает чёрный рынок.