Google悬赏求虐 邀黑客一起来找茬

Chrome漏洞奖励计划让不少研究人员获得了来自Google的奖金，Google也乐意用这样的方式发现重要漏洞，现在Google又宣布扩大漏洞奖励计划的范围，如果能找到Google网页内容的漏洞同样可以获得悬赏奖励。

这项新计划范围包括所有的Google内容网页、高敏感度用户数据以及账户验证，客户端应用程序暂不列入计划，未来将会继续扩大悬赏范围。

任何直接影响用户数据保密性和完整性的漏洞都可以获得奖励，但是检测方式仅限于XSS、XSRF/CSRF、XSSI（包含跨网站脚本）、绕过授权控制（例如用户A可以访问用户B的私人数据）、服务器端执行代码或命令注入等，但是不能使用自动测试工具。

另外黑客们不能真正动用破坏性的手段对Google造成威胁，攻击Google的设备、人身攻击、非Web应用漏洞、第三方运营的Google品牌网站漏洞等都是不允许的。另外用户账户测试只能使用自己的Google账户，不得视图访问他人的数据。

如果可以找到符合条件的漏洞，基础奖金为500美元，如果是非常严重错误，奖金最高可以升至3133.7美元。如果同一个漏洞多人举报，最早提交者可以拿走奖励。

Google还表示，一些黑客可能视金钱如粪土，所以Google提供有捐赠奖金的选择，只要获奖者确认，奖金将直接交付给慈善机构。