Mozilla | Bug Bounty Program
El programa Mozilla Security Bug Bounty está diseñado para fomentar la investigación de seguridad en el software Mozilla y para recompensar a quienes ayudan a hacer de Internet un lugar más seguro.
Mozilla gestiona dos programas diferentes de recompensas de errores, uno se enfoca en el navegador Firefox y otras aplicaciones y el otro cubre los sitios web y servicios de Mozilla.
Cliente
El programa Mozilla Client Security Bug Bounty está diseñado para promover la investigación de seguridad en el software Mozilla.
Mozilla pagará una recompensa por errores de seguridad en el cliente como se detalla a continuación:
- Los errores de seguridad elegibles pueden estar presentes en cualquiera de las principales versiones actuales de desarrollo o publicadas de Firefox o Firefox para Android lanzadas por Mozilla Corporation (por ejemplo, las versiones de prueba Nightly mozilla-central o Beta, así como las versiones finales del producto).
- La calificación de seguridad dada por el Comité de recompensas para un error debe considerarse como "sec-critical" o "sec-high" para que sea elegible para una recompensa. Algunos errores "sec-moderate" también pueden ser elegibles para la recompensa.
- El comité evaluará la gravedad de los problemas reportados con la ayuda de ingenieros que trabajan en el código afectado. Los investigadores de seguridad están invitados a participar en la asignación de calificaciones, pero las decisiones finales sobre la calificación quedan a discreción del Comité de recompensas.
La recompensa por vulnerabilidades de seguridad válidas del cliente potencialmente explotables críticas y de alta seguridad será de entre $3,000 y $7,500 (USD) en efectivo.
Si se paga una recompensa por un problema de seguridad de calificación moderada, la cuantía será de entre $500 y $2,000 (EE.UU)
Nueva vulnerabilidad y explotación, nueva forma de explotación o una vulnerabilidad excepcional |
Informe de errores de alta calidad con vulnerabilidad crítica claramente explotable |
Informe de errores de alta calidad de una vulnerabilidad crítica o alta |
Mínimo para una vulnerabilidad alta o crítica |
Vulnerabilidad media |
|---|---|---|---|---|
$10,000+ |
$7,500 |
$5,000 |
$3,000 |
$500 - $2,500 |
Nuevo: en coordinación con GitHub Security Lab, Mozilla ha lanzado un nuevo programa que recompensa la presentación de herramientas de análisis estático que identifican vulnerabilidades de seguridad actuales o históricas en Firefox.
Debido a que está en fase de experimentación, Mozilla no se compromete a una cantidad o rango exactos para la recompensa, pero se espera que esté entre $2,500 y $7,500.
Para reclamar una recompensa
- Asegúrate de tener una cuenta de Bugzilla
- Utilice el formulario de recompensa de errores del cliente bugzilla para presentar el problema y marcarlo automáticamente para su consideración
- En el campo "Descripción", describe claramente un problema de seguridad o envío de análisis estático.
- Si envía un envío de análisis estático, use la opción "Adjunto" para adjuntar el código fuente de la consulta o el complemento
- Adjunta un documento como "pruebas de concepto", caso de reproducción, salida de depuración o salida de una herramienta
- Si ha presentado el error directamente en Bugzilla sin utilizar el formulario de recompensa de errores del cliente Bugzilla , notifique inmediatamente al Grupo de Seguridad de Mozilla por correo electrónico a security@mozilla.org e incluya el número del error que presentó y una mención de que lo está enviando para consideración de recompensa. No envíe la vulnerabilidad real por correo electrónico.
Web y Servicios
Mozilla Bug Bounty Program está diseñado para fomentar la investigación de seguridad en los sitios web y servicios de Mozilla y para recompensar a aquellos que encuentran errores únicos y originales en su infraestructura web.
Envía todos los informes de errores a través de secure bug reporting process.
Bug Classification |
Other Mozilla sites |
||
|---|---|---|---|
| Remote Code Execution | $15,000 |
$5,000 |
$1,000 |
| Authentication Bypass | $6,000 |
$3,000 |
|
| SQL Injection | $6,000 |
$3,000 |
|
| CSRF | $5,000 |
$2,000 |
-- |
| XSS | $5,000 |
$2,000 |
|
| XXE | $5,000 |
$2,000 |
|
| Domain Takeovers | $5,000 |
$2,000 |
$500/$200 |
| XSS (minor) | $2,000 |
$1,000 |
|
| XSS (blocked by CSP) | $1,000 |
-- |
|
| Clickjacking | $1,000 |
$500 |
-- |
| Open Redirects |
Entradas
No hay comentarios