Chrome漏洞奖励计划让不少研究人员获得了来自Google的奖金,Google也乐意用这样的方式发现重要漏洞,现在Google又宣布扩大漏洞奖励计划的范围,如果能找到Google网页内容的漏洞同样可以获得悬赏奖励。
这项新计划范围包括所有的Google内容网页、高敏感度用户数据以及账户验证,客户端应用程序暂不列入计划,未来将会继续扩大悬赏范围。
任何直接影响用户数据保密性和完整性的漏洞都可以获得奖励,但是检测方式仅限于XSS、XSRF/CSRF、XSSI(包含跨网站脚本)、绕过授权控制(例如用户A可以访问用户B的私人数据)、服务器端执行代码或命令注入等,但是不能使用自动测试工具。
另外黑客们不能真正动用破坏性的手段对Google造成威胁,攻击Google的设备、人身攻击、非Web应用漏洞、第三方运营的Google品牌网站漏洞等都是不允许的。另外用户账户测试只能使用自己的Google账户,不得视图访问他人的数据。
如果可以找到符合条件的漏洞,基础奖金为500美元,如果是非常严重错误,奖金最高可以升至3133.7美元。如果同一个漏洞多人举报,最早提交者可以拿走奖励。
Google还表示,一些黑客可能视金钱如粪土,所以Google提供有捐赠奖金的选择,只要获奖者确认,奖金将直接交付给慈善机构。
