yugioh2500
เป็นเรื่องปกติของบริษัท IT ยักษ์ใหญ่ที่จะมีการจ่ายเงินให้กับผู้ค้นพบช่องโหว่ (หรือก็คือค่าเหนื่อยนั่นแหล่ะ) ไม่ว่าจะเป็น Facebook หรือบริษัทอื่นใดก็ตาม สำหรับ LINE เองก็มีการเปิดโปรแกรม LINE Bug Bounty Program ที่จ่ายเงินขั้นต่ำตั้งแต่ $500 – 20,000 เหรียญสหรัฐ
สำหรับโปรแกรมนี้จะเริ่มต้นตั้งแต่วันที่ 24 สิงหาคม – 23 กันยายน 2015 ให้กับผู้ที่ค้นพบช่องโหว่ใน LINE เวอร์ชั่นล่าสุดเท่านั้น (LINE สำหรับ iOS ทุกเวอร์ชั่น, LINE สำหรับ Android 5.2.0 หรือสูงกว่าเท่านั้น) และนอกจากนี้ยังรวมไปถึงในโดเมน
- *.line-apps.com
- *.line.me
- *.line.naver.jp
โดยไม่รวมถึง App อื่นที่เกี่ยวข้องกับ LINE รวมถึงเกมต่าง ๆ และผู้ที่ค้นพบต้องไม่มีส่วนเกี่ยวข้องกับบริษัท LINE หรือคู่ค้า, บรรลุนิติภาวะ, สื่อสารภาษาอังกฤษหรือญี่ปุ่นได้, ไม่อาศัยอยู่ในประเทศภายใต้การคว่ำบาตรทางเศรษฐกิจ (เช่น สาธารณรัฐอิสลามแห่งอิหร่าน, สาธารณรัฐซูดานสาธารณรัฐคิวบา, เกาหลีเหนือ, สาธารณรัฐแห่งสหภาพพม่า, สาธารณรัฐอาหรับซีเรีย หรือประเทศอื่นใด)
| Vulnerability | Description | Minimum value |
|---|---|---|
| Message/call eavesdropping | Ability to eavesdrop on, modify or terminate another person’s messages or phone calls | USD 10,000 |
| SQL Injection | Ability to access private information through SQL injection attack | USD 3,000 |
| Cross-Site Scripting (XSS) | Ability to hijack session or execute scripts through XSS attack | USD 500 |
| Cross-Site Request Forgery (CSRF) | Ability to force the LINE User to perform an undesired process through CSRF attack | USD 500 |
| Client-Side Remote Code Execution | Ability to send messages containing arbitrary code via LINE and cause desired code to be executed on devices receiving message | USD 20,000 |
| Server-Side Remote Code Execution | Ability to send packets containing arbitrary code to server side and cause desired code to be executed on server side | USD 10,000 |
| authentication bypass | Ability to masquerade as another person by bypassing authentication procedures | USD 5,000 |
| purchase bypass | Ability to obtain items while bypassing in-app payment procedures | USD 5,000 |
| Other | Other | USD 500 |
จากตารางด้านบนจะเห็นได้ว่ารางวัลที่มีมูลค่าสูงสุด (ขั้นต่ำ $20,000) คือการที่สามารถ Client-Side Remote Code Execution ที่สามารถส่งข้อความ ที่มีการเข้ารหัสผ่านทาง LINE ไปยังเครื่องเป้าหมาย ส่วนรางวัลที่มีมูลค่าน้อยจะเป็นพวกเทคนิค XSS, CSRF หรือช่องโหว่เล็กน้อยทั่วไป รายละเอียดเพิ่มเติม
ที่มา – linecorp
