国家通讯应用Max的漏洞赏金计划于2025年7月启动,已取得可量化的成果。根据Standoff365的数据,共收到454份报告,其中288份被采纳,识别出213个漏洞。向研究人员支付的总金额超过2190万卢布,平均赏金接近34.9万卢布。专家指出,该举措对加强平台安全性具有积极作用。
IDOR与越权访问的普遍性 🕵️
发现中最常见的漏洞是IDOR,即不安全的直接对象引用。此漏洞允许用户通过操纵请求中的标识符,访问不属于他们的数据对象,如消息或个人资料。其高频出现表明后端授权验证存在改进空间。Max还参与了另外两个赏金平台,以扩大对其代码的审查范围。
漏洞猎手与他们的新“远程工作” 💰
寻找Max的漏洞似乎已成为一种相当有利可图的远程工作方式。赏金金额可能超过某些地区的平均工资,难怪白帽黑客们比用户寻找贴纸时更专注地检查应用的每个角落。下次当联系人看到你的消息显示已读时,可能不是他本人,而是一位安全研究员正在测试IDOR漏洞。一切都是为了赏金。