📜  前 5 个漏洞赏金计划

📅  最后修改于: 2021-10-19 05:38:24             🧑  作者: Mango

您还记得您编写的第一个代码(可能是 Hello World 程序)以及您在该基本程序中犯了多少错误?也许很多——无论是语法错误运行时错误还是其他任何错误(不用担心,这是优秀程序员的标志!)。确实,源代码中的错误对于任何程序员来说都是一场噩梦,但如果没有这些错误和错误,程序员的旅程也是不完整的,这也是事实。甚至程序员也喜欢调试代码,因为这不仅使他们精通该程序,而且还可以学习和探索新事物。牢记这一点,许多公司都提供漏洞赏金计划,挑战您在他们的系统中找到漏洞。是的,它也可以为您赚钱!

前 5 名漏洞赏金计划

现在,您一定很想知道这些漏洞赏金计划。 Bug 赏金计划是公司开发人员(尤其是白帽黑客)之间的一种公开交易,旨在发现组织系统或产品中的某些错误、安全漏洞和其他漏洞。如果个人可以在他们的系统中发现这些错误,他应该将其报告给公司,公司会代表公司奖励此人并为特定错误提供一定数量的奖励。所以基本上这对公司和黑客来说都是双赢的局面。除了金钱利益之外,参加漏洞赏金计划还有其他一些好处,其中一些如下所述:

  • 它允许您分析您在实际世界中的知识和技能。
  • 赢得漏洞赏金计划不仅可以为您提供金钱,而且您还有机会以全职员工的身份加入公司。
  • 此外,它是完全合法和合乎道德的,因此无需担心法律方面的问题。

在过去的几年里,Bug Bounty Programs 的受欢迎程度迅速增长,如今,几乎所有领先的公司,如GoogleFacebookMicrosoft等都提供这些程序。因为它不仅奖励了白帽黑客的技能,而且还使公司的系统更加安全和无错误。在本文中,让我们详细看看这样最好的 5 个漏洞赏金计划。

1. 谷歌漏洞奖励计划

与其他领域一样,在漏洞赏金计划方面,谷歌是最受欢迎的公司之一。出于同样的考虑,它为所有白帽黑客提供了 Google 漏洞奖励计划 (VRP)。 Google 提供此程序,因为其内容属于这些域中的任何一个 – .google.com.youtube.com.blogger.com 。此外,Google Cloud Platform 及其开发的应用程序或扩展程序中的错误也属于该程序。该程序主要涵盖了服务器端代码执行漏洞跨站脚本等对用户数据安全有影响的设计和实现问题。

根据报告问题的影响,确定错误问题的奖励金额从100 美元到 31,337 美元不等。但是,要赢得奖励金额,您需要根据公司的指南确定有效的错误或漏洞,例如与URL 重定向用户枚举合法内容代理和框架相关的报告问题。等等,不要为您赚取金钱奖励(甚至可能不符合资格)。

2. Facebook 漏洞赏金计划

Facebook 也是顶级 IT 巨头之一,欢迎并奖励那些相信他们可以怀疑公司系统中的任何漏洞或错误的黑客或开发人员。 Facebook上提供了这个错误赏金计划用于下列产品-脸谱,FBLite,Instagram,WhatsApp的开源项目其它收购的产品。但是,不属于 Facebook 的第三方应用程序或网站不属于此计划。尽管与 Facebook 集成的第三方系统中的漏洞对 Facebook 用户数据或系统有潜在影响,但可以认为适用于该程序。

Facebook 漏洞赏金计划的奖励金额从500 美元起,金额会根据报告漏洞的影响和利用风险而增加。此外,您必须记住,检测到的错误不能超出范围,例如拒绝服务攻击垃圾邮件或社会工程技术等,也不能违反程序的指导方针。

3. 微软漏洞赏金计划

多年来,微软为其大量产品和系统推出了各种漏洞悬赏计划。该计划允许开发人员识别和报告 Microsoft 产品和服务中的错误或漏洞,以获得组织的奖励和赞赏。这些计划主要分为 3 个部分 – Microsoft 云计划(Microsoft Azure、Xbox 等)平台计划(Microsoft Hyper-V、Microsoft Edge 等)防御和资助计划(Mitigation Bypass and Bounty for Defense、Grant :微软身份)

Microsoft 根据产品和报告的问题提供奖励。每个产品都有自己的奖励范围,例如针对 Microsoft Azure 云服务报告的漏洞最高奖励 300,000美元,针对 Windows Insider Preview 中报告的问题最高奖励 30,000 美元,以及其他各种奖励。此外,您需要报告漏洞及其功能利用,如果失败,您将获得部分赏金。

4. 苹果漏洞赏金计划

最初,Apple 的漏洞赏金计划仅面向 24 名安全研究人员推出,但在扩展框架后,对额外漏洞检测器的需求增加了。该公司的漏洞赏金计划与检测最新公开可用版本的iOSiPad OStvOSmacOSwatchOS 中的漏洞有关,并具有标准大纲。除了公司公布的赏金类别外,如果您发现任何其他具有间接影响的漏洞,则它将归入赏金计划。

Apple 漏洞赏金计划的奖励金额取决于所报告问题的漏洞级别。然而,最大的量是固定的,几乎每一个问题,比如$ 100,000未经授权的访问iCloud帐户数据上苹果服务器,用于锁屏绕过用户数据提取$ 250,000,$ 100,000和各种其他。此外,如果您报告公司未知的问题,您可以获得50% 的额外赏金。

5. 英特尔漏洞赏金计划

英特尔公司坚信安全是任何组织关注的主要方面,出于同样的原因,它提供了一个漏洞赏金计划,以鼓励研究人员检测其产品或系统中的任何漏洞或漏洞。英特尔漏洞赏金计划主要关注公司的硬件(微处理器、现场可编程门阵列组件等)固件(UEFI BIOS、英特尔计算棒、NUC 等)软件部分(设备驱动程序、开发工具等) .但是,如果报告的问题或漏洞属于不再受积极支持或英特尔已知的产品版本或任何类似情况,则将被视为不符合该计划的资格。

根据所报告问题的性质和风险级别,英特尔漏洞赏金计划的奖励金额在500 美元到 100,000 美元之间。英特尔通过 HackerOne 平台管理漏洞赏金计划的支付流程。除了经济奖励外,该组织还在公开披露所报告的问题时公开承认研究人员。

现在,正如您所看到的,几乎每个组织都在挑战您在他们的系统中至少找到一个错误,那么您还在等什么?只需收集您的工具库,投入战斗并展示您正在学习的所有知识和技能!!