Paypal تقرر إعتماد نظام المكافئات للباحثين الأمنين لايجاد ثغرات بموقعها
الكاتب: ابراهيم حجازي | يوم: 30 يونيو, 2012 | التعليقات: 1 | القراءات: - عدد المشاهدات 13٬995
قررت شركة paypal المختصه بالتعاملات الماليه البنكيه من خلال الإنترنت , في خطوه ربما أتت متأخره ولاكن المهم أنها أتت , لمنح أموال للباحثين الأمنين مقابل ايجاد ثغرات بموقعهم
الجدير بالذكر انه موقع paypal عاني كثيرا في الفتره الأخيره من ثغرات بالموقع كان يتم نشرها علانية public في منتديات الهكرز ويتم مشاركتها بين الهاكرز وبعضهم ..
تتراوح الثغرات ما بين XSS- CSRF- Parameter Manipulation وغيرها ..
اذكر انه Tinkode الهكر الروماني المقبوض عليه حاليا .. كان يعرض علي منذ فتره ثغره XSS في Paypal مقابل 200 دولار فقط!
وقد ذكر ميشيل باريت في احد تدويناته وهو الرئيس التنفيذي لأمن المعلومات بشركة paypal :
“انا سعيد للتنويه علي اننا قمنا بتحديث عملية الإبلاغ عن الثغرات الي نظام المكافات”
ولاكن باريت لم يذكر اي تفاصيل عن المكافائات وما هي أسعار الإبلاغ عن الثغرات !
بعض من أنواع الثغرات المدرجه ضمن قائمة المكافئات:
- XSS (Cross Site Scripting),
- CSRF (Cross Site Request Forgery),
- SQL Injection or
- Authentication Bypass
مع العلم انه يجب ان يكون لدي الباحثين الامنين حسابات مفعله علي موقع paypal حتي يتثني لهم إستلام المكافئات من خلالها ..
ويكمل باريت في تدوينته: سابقا كان لدي بعض التحفظات بخصوص موضوع دفع الأموال للباحثين الأمنين عند الإبلاغ عن ثغرات بالموقع , لاكنني الان اعترف بانني كنت مخطأ,انها فعلا طريقه فعاله لجذب انتباه الباحثين الأمنين لإيجاد المزيد من نقاط الضعف لدينا.
شركة paypal تستحق التهنئه من أجل إتخاذ هذه الخطوه.
شخصيا أتوقع تبليغات ليس لها حصر في اول شهر من إعتماد النظام الجديد .
المصدر:THN
خبير أمن معلومات مصري , متخصص في تجربة إختراق تطبيقات الويب و أمن الشبكات و متحدث في عدة مؤتمرات دولية عن أمن المعلومات , تم مكآفأته و إدراج اسمه عدة مرات على حائط الشكر بموقع Google , Ebay , Microsoft , Yandex وتم تكريمة من قبل Yahoo و Avira و Barracuda.
يمكنكم التواصل مع الكاتب عبر حسابة علي تويتر @Zigoo0
التعليقات:
اترك تعليقاً | عدد التعليقات: (1)
جاري التحميل ...
بلغت بثغرة بالموقع
و حتى الان لم يتم الرد و لم يتم تسكير الثغرة