ZDI 推出针对巨头服务器代码的漏洞奖励计划TIP 最高奖赏20万美元

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

7月24日，趋势科技ZDI宣布推出针对性激励计划(Targeted Incentive Program, TIP)，将于8月1日正式启动。

除了微软 Windows Server 2016 外，TIP 主要为开源的服务器端产品中的漏洞支付赏金。

如果赏金猎人通过模糊器和利用代码能够在下表所显示的目标平台上率先利用此前未曾发现过的 bug，将获得奖赏。

ZDI 表示所列目标被攻陷后，将会从列表中删除然后用新的替换。

白帽黑客如果提供的是无害的 PoC 演示，则无法获得奖金；TIP 要求提供影响“所列目标核心代码”的 0day 漏洞的完全起作用的利用代码。

同时，获得奖金的攻击者必须能挫败各种缓解措施，包括沙箱、地址空间分布随机化、操作系统的保护措施等等；另外，漏洞还必须能够引发任意代码执行问题。所报告的缺陷问题将被提交给供应商修复。

https://www.theregister.co.uk/2018/07/25/zdi_server_bounty_rewards/