FaceBook悬赏50000美元奖励互联网安全防御项目

　　正因为有一个让世界每人都接入互联网大家庭的梦想，Facebook的创始人马克扎克伯格致力于让互联网变得更加安全。

　　到现在为止，许多大公司都拥有技术bug赏金计划，以此奖励那些为互联网安全做出贡献的，发现软件或网络平台的安全漏洞的研究人员和网络爱好者，社交网络巨头facebook最近的一个计划正是这样做的。

　　Facebook和USENIX共同推出了互联网防御奖，这是一项结合对互联网安全的重大贡献奖的工作模型而筛选出优秀研究成果的奖项，Facebook于星期四举办在圣迭戈的年届USENIX安全座谈会宣布了此事。

　　同时，Facebook宣布了在其互联网防御奖后第一个奖项，为一对德国的研究人员的论文颁发了奖章，《Web应用程序二次漏洞的静态检测》，一种似乎是检测Web应用程序中的漏洞可行的方法。

　　两人使用了静态手段去检测Web应用程序中的二次漏洞，这种漏洞可以被用于在被提前存储于Web服务器后实施攻击。二次漏洞包括向目标Web服务器上传恶意脚本/载荷，这能让攻击者进行远程利用。

　　“比如，如果载荷被存储在给大众分享的资源上，XSS攻击会给应用程序的用户们带来更大危害，”论文如是说。

　　静态分析源代码从而找出二次漏洞是一件很蛋疼的事情。但是，“通过分析阅读、以及写入到Web服务器的内存位置”，我们能够通过在持久性存储数据如数据库或者会话数据中，连接输入和输出点，从而鉴别出被污染的数据。

　　这位研究人员如此说道。他曾提交了6种流行Web应用程序的159个二次漏洞，其中还包括几个影响严重的0day。

　　在德国鲁尔大学的两位研究人员，Johannes Dahse和Thorsten Holz ，获得了由Facebook和USENIX奖委员会的名义发放的50000美元的奖金。委员会似乎看到了一条用金钱打造技术研究的康庄大道，这法子或许在现实世界行得通。

　　据John “Four” Flynn所讲，互联网防御奖是一个正在实施的项目，而委员会正为未来的一个奖项征集新的想法。这位Fackbook的安全工程经理曾服务于互联网防御奖的大奖委员会。

　　“我们决定专注于创造更多的机会和激励手段，供给那些做出实际保护大众工作的人员，”弗林在一篇博客中写道。”我们的回答是互联网防御奖，给优质的研究工作以奖励，结合了特别是在保护和防御领域的互联网安全的重大贡献的工作原型。”

　　委员会以Facebook互联网防御奖，吸引了研究人员和安全爱好者提交他们的成果给Facebook。他们表示，根据提交的强度，奖金额可能会增加，或许如果没有项目符合，委员会会持续保留资金。

　　去年十一月，Facebook也参与建立过互联网BUG基金，与互联网防御奖类似，以奖励在开源软件项目中发现大规模网络漏洞的研究者。网络BUG基金是由hackerone发起的，其中参与的也包括其他如微软、谷歌等大型公司。