Некоммерческий архив XSS-уязвимостей позволит всем желающим делать поощрительные выплаты.
Как следует из сообщения на web-сайте некоммерческого архива XSS-уязвимостей xssposed.org, администрация сервиса запускает программу выплаты вознаграждений за обнаруженные уязвимости. Ключевым отличием Open Bug Bounty от аналогичных инициатив заключается в том, что выплата денежного вознаграждения может быть осуществлена любым желающим, а не только владельцем соответствующего портала.
«Мы поддерживаем оба сервиса Full Disclosure и Coordinated Disclosure с помощью нашей программы Open Bug Bounty. Ее идея довольно проста: любой исследователь может быть вознагражден за обнаружение уязвимости на любом web-сайте. Мы выходим за традиционные рамки, в которых поощрять специалистов может лишь владелец уязвимого web-сайта. Open Bug Bounty позволяет поблагодарить эксперта и случайному пользователю, и журналисту или даже сторонней IT-компании, отвечающей за защиту этого ресурса».
XSSposed был создан в июне 2014 года в качестве открытого проекта, где любой желающий может оставить информацию о выявленной им уязвимости межсайтового скриптинга в любом web-сайте, после чего она будет проверена и опубликована в открытом с соответствующей отсылкой к исследователю.
Проверка подлинности информации о брешах проводится квалифицированными сотрудниками XSSPosed при помощи зеркальных копий уязвимых ресурсов. При этом удаление уже опубликованной в открытом доступе информации об уязвимостях по финансовым и политическим причинам исключено.
Спойлер: она начинается с подписки на наш канал