غوغل تطلق تطبيق كروم: للبحث عن الأجهزة الضعيفة علي الشبكة واختراقها

12/25/2023

غوغل تطلق تطبيق كروم: للبحث عن الأجهزة الضعيفة علي الشبكة واختراقها

12/25/2023 0 Posted By: ابو عزام الشجني

تم إطلاق برنامج كروم للثغرات الأمنية في يناير 2010 للمساعدة في مكافأة مساهمات الباحثين الأمنيين الذين يستثمرون وقتهم وجهدهم في مساعدتنا على جعل كروم و كروم  OS أكثر أمانًا، من خلال هذا البرنامج ، نقدم جوائز مالية وتقديرًا عامًا لنقاط الضعف التي تم الكشف عنها بشكل مسؤول لمشروع كروم.

ما هو تطبيق كروم

نحن مهتمون بالأخطاء التي تصل إلى قنواتنا الثابتة والتجريبية والتطويرية. نحن لا نشجع مطاردة الثغرات الأمنية في بنى الكناري أو جذوع الأشجارلأنها لا تخضع لاختبار التحرير ويمكن أن تظهر انحدارات قصيرة الأجل يتم تحديدها وإصلاحها بسرعة كبيرة ونود أيضًا التعرف على الأخطاء في مكونات الجهات الخارجية التي نشحنها أو نستخدمهامثل PDFium و أدوب فلاش و لينكس كيرنل قد تكون الأخطاء مؤهلة حتى لو كانت جزءًا من نظام التشغيل الأساسي ويمكن أن تظهر من خلال كروم.


تأهيل نقاط الضعف

سنركز عادةً على الأخطاء الحرجة والعالية والمتوسطة التأثير ولكن قد تحصل أي ثغرة أمنية ذكية بأي درجة من الخطورة على مكافأة.

هناك ثلاث قواعد يجب وضعها في الاعتبار:

  1. يكون التقرير الأول فقط عن مشكلة معينة لم نكن على علم بها في السابق مؤهلاً، في حالة تقديم مكرر ، يعتبر أول تقرير خطأ تم تقديمه في متتبع الأخطاء هو التقرير الأول.
  2. الأخطاء التي تم الكشف عنها علنًا أو لطرف ثالث لأغراض أخرى غير إصلاح الخطأ لن تكون مؤهلة عادةً للحصول على مكافأة. نشجع الإفصاح المسؤول ، ونعتقد أن الإفصاح هو طريق ذو اتجاهين ؛ من واجبنا إصلاح الأخطاء الجسيمة في غضون فترة زمنية معقولة.
  3. نأخذ في الاعتبار ما إذا كان التقرير قد دفعنا إلى إجراء تغيير مفيد للأمان ، أي أننا على الأرجح لن نكافئ إذا كنا سنصلح المشكلة بدون التقرير.


التحقيق والإبلاغ عن الخلل

  • يجب الإبلاغ عن جميع الأخطاء عبر هذا النموذج والذي سيطبق التصنيفات الصحيحة وعرض القيودلاحظ أن إرسالك عبر HTTPS ولا يتطلب تشفيرًا إضافيًا، يجب الإبلاغ عن الأخطاء الموجودة في خدمات جوجل من جانب الخادم ضمن برنامج مكافآت الثغرات الأمنية من جوجل بدلاً من ذلك.
  • عند التحقيق في الثغرة الأمنية من فضلك ، استهدف أجهزة الكمبيوتر الخاصة بك فقط، لا تحاول مطلقًا الوصول إلى بيانات أي شخص آخر ولا تشترك في أي نشاط من شأنه أن يؤدي إلى تعطيل أو إلحاق الضرر بزملائك المستخدمين أو جوجل.
  • لاحظ أننا قادرون فقط على الرد على تقارير الثغرات الأمنية. قد لا تكون شركات تضمين الكروم والشركات التي تربطها بـ جوجل علاقة تجارية سابقة مؤهلة للحصول على مكافآت، يجب بدلاً من ذلك توجيه الأخطاء والاستفسارات غير المتعلقة بالأمان حول المشكلات المتعلقة بحسابك إلى مراكز مساعدة جوجل.
  • تُنشر التقارير للجمهور بعد 14 أسبوعًا من تحديدها على أنها ثابتة ، باستثناء الحالات الاستثنائية هذا في الحفاظ على فلسفة الكروم مفتوحة المصدر ويوفر موردًا قيمًا لإجراء أبحاث الثغرات الأمنية لاحظ أن المرفقات تعتبر جزءًا من التقرير.


مبالغ المكافأة

تتراوح مكافآت الأخطاء الأمنية المؤهلة عادةً من 500 دولار إلى 150000 دولار.

لدينا مكافأة ثابتة قدرها 150000 دولار للمشاركين الذين يمكنهم اختراق جهاز كروم بوك أو كروم بوكس مع استمرار الجهاز في وضع الضيف أي استمرار الضيف إلى الضيف مع إعادة التشغيل المؤقت يتم تسليمها عبر صفحة ويب.


جودة التقرير

تقارير عالية الجودة مع استغلال وظيفي وتقرير عالي الجودة كما هو مذكور أدناه بالإضافة إلى وقم بتضمين استغلال موثوق يوضح أن الخطأ الذي تم الإبلاغ عنه يمكن استخدامه بسهولة ونشاط وموثوقية ضد مستخدميناعادةً ما تحتوي التقارير عالية الجودة على العديد من هذه الخصائص:

  • حالة الاختبار المصغرة.
  • أظهر أن الاستغلال محتمل جدًا.
  • تحليل للمساعدة في تحديد السبب الجذري.
  • يجب أن يكون التقرير موجزًا ومكتوبًا بشكل جيد مع التفاصيل والتعليقات الضرورية فقط.
  • كن متجاوبًا مع أسئلة المهندسين الذين يعملون على إصلاح الخطأ.
  • اقترح التصحيح.


يجب أن تحتوي تقارير خط الأساس على الأقل على

  • توجد حالة اختبار أو ناتج مصغر من fuzzer يسلط الضوء على خطأ أمني دون إثبات أن المشكلة قابلة للاستغلال.
  • إصدارات كروم تتأثر بالخطأ.


يجب أن تتجنب التقارير

  • فقط تفريغ تحطم.
  • تتبع المكدس بدون رموز.
  • بدون إثبات المفهوم PoC أو PoC ذات الجودة الرديئة على سبيل المثال تفريغ ملف زغب كبير بدون محاولة تقليله التي تم التحقق منها لاحقًا على أنها مشكلة مشروعة.
  • المبالغ المدرجة مخصصة لتقارير ذات جودة عالية لا تتطلب تفاعلًا معقدًا أو غير محتمل من المستخدم. من المحتمل أن تكون عمليات إرسال الأخطاء الأقل إقناعًا أو الأكثر تقييدًا مؤهلة للحصول على مبالغ مكافآت مخفضة ، كما هو محدد وفقًا لتقدير لوحة المكافآت.
  • تنطبق المكافآت على كروم على نظام التشغيل ون  7+ و ماك OS10v10.10 + و لينكس و اندرويد 4.4+ و iOS 7+ والإصدارات الحالية من كروم  OS.
  • يتم دائمًا تحديد قرار منح المكافأة ومقدارها وفقًا لتقدير لوحة المكافآت وحدهاعلى وجه الخصوص ، قد نقرر دفع مكافآت أعلى مقابل نقاط الضعف الشديدة أو الذكية بشكل غير عادي ؛ تقرر أن تقريرًا واحدًا يشتمل بالفعل على أخطاء متعددة ؛ أو أن هناك عدة تقارير مرتبطة ارتباطًا وثيقًا لدرجة أنها لا تتطلب سوى مكافأة واحدة.
  • نحن نتفهم أن البعض منكم غير مهتم بالمال نحن نقدم خيار التبرع بمكافأتك لجمعية خيرية مسجلة لدى شريك العطاء لدينا إذا قمت بذلك ، فسوف نضاعف تبرعك وفقًا لتقديرنا سيتم التبرع بأي مكافآت لم تتم المطالبة بها بعد 12 شهرًا إلى مؤسسة خيرية من اختيارنا.
ابو عزام الشجني

تطبيقات اندرويد تحتوي على كافت التطبيقات الرسمية واتساب الذهبي و الكاسر المحدث

0 Comments: