五角大楼旅游管理系统中被曝数十个漏洞

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

周三，HackerOne宣布了“黑掉DTS”活动的结果，它是美国国防部运行的第五个漏洞奖励计划。

DTS 即“国防旅游系统”，它是专门为美国国防部创建的一个完全一体化的自动化旅游管理系统。据称该平台每天的唯一访客约为10万名，他们的目的是创建授权、接收批准函、准备预定以及制作旅行传单等。

美国国防部想要测试该平台的安全性，于是从 HackerOne 平台挑选了19名经验丰富的黑客。这些研究员主要来自美国和英国，他们提交了100多份漏洞报告，其中65份被认为是唯一且有效的，其中包括28份报告说明的是严重和高危漏洞的情况。

白帽黑客通过研究成果获得共78,650美元的奖励，其中最高的奖励是5000美元，他们共获得8次最高奖金。

国防人力数据中心 (DMDC) 的项目组长 Jack Messer 指出，“国防部旅游人员依赖国防旅游系统。全球共运营9500多个站点，这些系统的安全性至关重要。这次‘黑掉 DTS’的黑客活动帮助我们发现了此前的未知漏洞，补充了 DMDC 保护关键企业系统及其用户的工作。”

HackerOne 指出，这次入侵活动是第二个允许参赛者使用社工技术的政府漏洞奖励计划。

五角大楼已经向从系统中找到成千上万个漏洞的研究人员颁发了数十万美元的奖金。它举办的活动包括“黑掉五角大楼”、“黑掉空军”、“黑掉陆军”和“黑掉空军 2.0”漏洞奖励计划。

https://www.securityweek.com/tens-vulnerabilities-found-pentagon-travel-management-system