ほとんどの多国籍企業には、独立した研究者が脆弱性を見つけて報告することを奨励するバグ報奨金プログラムがあります. Facebookも例外ではありません. 実際のところ, 人気のソーシャルネットワークは、その報奨金プログラムが開始されて以来、欠陥レポートに多くのお金を費やしてきました 2011.
Facebookはバグレポートに数百万ドルを費やしている
セキュリティ研究者のReginaldoSilvaが明らかにしたように, Facebookはおよそ浪費している $4.3 以上で百万 2,400 バグレポート, 送信者 800 以来の研究者 2011.
報告された脆弱性のほとんどは次のとおりです。
- XSS (クロスサイトスクリプティング) バグ
- CSRF (クロスサイトリクエストフォージェリ) バグ
- ビジネスロジックの欠陥 (脆弱性)
についてもっと読む FacebookXSSのバグ
ビジネスロジックの脆弱性とは?
セキュリティ関連の問題は、認証などのセキュリティ制御が壊れているか欠落していることから生じるアプリケーションの弱点として説明できます。, アクセス制御, 入力検証. 要するに, ビジネスロジックの脆弱性は、特定の組織に悪影響を与えるような方法でアプリの正当な処理フローを使用する方法にすぎません。.
ReginaldoSilvaは最大の報奨金を授与されました - の 2014. これはFacebookが彼のバグ発見について言ったことです:
最近、これまでで最大の脆弱性報奨金を授与しました, そしてそれは私たちがそれ以来構築して実行してきたプログラムの素晴らしい検証なので 2011, 問題と対応について説明するのに数分かかると思いました. […] Reginaldo Silva は投稿の中で、この問題は XML 外部エンティティの脆弱性であり、誰かが Web サーバー上の任意のファイルを読み取ることができる可能性があると説明しています。. すぐに, フラグを反転して、XML解析ライブラリが外部エンティティの解決を許可しないようにすることで修正を実装しました.
他のバグバウンティはどうですか? の 2015 少し少ない 2014 – $936,000. 合計はに共有されました 210 報告と引き換えに研究者 526 バグ. バグバウンティの平均サイズは $1,780. インドの研究者は、「バグバウンティチェーン」のトップにいました 2014 と 2015. 加えて, エジプトとトリニダードの専門家が米国と英国の研究者と比較して数字をリードしています.
[…] 受け取るレポートの品質は時間の経過とともに向上しています, 問題を再現するための明確なステップバイステップの指示と、Facebookを使用する人々への潜在的なリスクの慎重な検討の両方の観点から.
研究者は、ビジネスロジックの欠陥が、Facebookがコードベース内でルールを採用するのに役立ち、したがって、欠陥のクラス全体を排除すると考えています。. 結論は, 高品質のレポートとビジネスロジックの欠陥に焦点を当てることによって, 研究者が脆弱性を分類するのは簡単です.