جايزه فيس‌بوک برای كشف‌كنندگان آسيب‌پذيری‌های اين سايت

شماره: IRCNE2011071197
تاريخ: 8/5/90

فيس بوك در مبارزه با حملات هكرهاي خرابكار، به فهرست شركت­هايي پيوسته است كه در مقابل گزارش كردن آسيب پذيري­هاي امنيتي اين وب سايت، به هكر پيدا كننده اين آسيب پذيري جايزه اي پرداخت مي­نمايند.
فيس بوك با اين برنامه امنيتي جديد، قصد دارد 500 دلار براي آن دسته از نقايص امنيتي كه مي­توانند منجر به از بين رفتن تماميت و يا محرمانگي داده هاي كاربران اين شركت شوند پرداخت نمايد.
آسيب پذيري­هاي زير در اين برنامه مورد توجه قرار مي­گيرند:

• جعل درخواست بين سايتي (CSRF/XSRF)
• اسكريپت­هاي بين سايتي (XSS)
• تزريق كد از راه دور

كاربران فيس بوك توسط گروه گسترده اي از حملات خرابكارانه سرقت كليك و سرقت لايك، اسكريپت­هاي بين سايتي، CSRF و و حملاتي كه ساير آسيب پذيري­هاي برنامه هاي وب را مورد سوء استفاده قرار مي­دهند هدف قرار گرفته اند و اين شركت اميدوار است اين برنامه پرداخت پول به ازاي كشف آسيب پذيري­ها، كيفيت كد اين سايت را بهبود بخشد.
فردي كه چنين آسيب پذيري­هايي را كشف مي­كند بايد با سياست افشاي مسئولانه اين شركت موافقت داشته و زمان كافي براي پاسخگويي به اين آسيب پذيري­ها را پيش از افشاي هرگونه اطلاعاتي درباره آن، در اختيار اين شركت قرار دهد.
فيس بوك همچنين به محققان امنيتي اجازه مي­دهد حساب­هاي كاربري تستي بر روي اين وب سايت ايجاد نمايند تا اطمينان حاصل نمايد كه به ساير كاربران ضربه نمي­زنند و نيز از قوانين كاربران پيروي مي­نمايند.
اين شركت تاكيد كرده است كه مبلغ پرداخت شده ممكن است براي برخي آسيب پذيري­هاي خاص و بسيار مهم افزايش يابد.
نقايص امنيتي زير در مجموعه نقايص امنيتي داراي جايزه قرار نمي­گيرند:

• نقايص امنيتي در برنامه هاي متفرقه
• نقايص امنيتي در وب سايت­هاي متفرقه اي كه با فيس بوك مجتمع مي­شوند
• نقايص امنيتي در ساختار حقوقي فيس بوك
• آسيب پذيري­هاي انكار سرويس
• هرزنامه يا تكنيك­هاي مهندسي اجتماعي

شركت­هاي موزيلا، گوگل و Barracuda از جمله شركت­هايي هستند كه در مقابل كشف حفره هاي امنيتي در محصولات نرم افزاري و وب سايت­هاي خود، مبلغي را به عنوان جايزه پرداخت مي­كنند.