В XSSposed изменили правила программы вознаграждений за найденные уязвимости

В проекте XSSposed были анонсированы изменения, которые планируется внести в правила программы по поиску уязвимостей Open Bug Bounty. У исследователей появится возможность в частном порядке сообщать владельцам сайтов об обнаруженных XSS-уязвимостях.

Благодаря данному изменению исследователи смогут указать на наличие уязвимости на сайте без публичного обнародования информации. В проекте считают, что такой подход будет более эффективен для экспертов, так как лишит компании возможности отказывать в выплате вознаграждений по различным причинам, как это было в случае с Уэсли Вайнбергом, нашедшим критическую уязвимость в Instagram. Вайнберг получил доступ к конфиденциальным данным 400 миллионов пользователей. Компания Facebook потребовала от исследователя удалить все загруженную информацию, угрожая начать судебное разбирательство.

Организаторы проекта Open Bug Bounty модифицировали систему извещения об ошибках. Администрация сайта будет получать мгновенное уведомление о найденной проблеме. Как считают в XSSposed, способы обнаружения XSS-уязвимостей не несут вреда сайтам, но наличие такой проблемы может привести к компрометации Интернет-портала.

Некоммерческий онлайн-реестр XSSposed возник в 2014 году как место, где исследователи могут оставить сведения о XSS-уязвимости, обнаруженной ими в каком-либо сайте. После информацию проверяют и публикуют, ссылаясь на исследователя.