新闻快讯
< >

2017年十大重量级Bug赏金计划

E安全9月5日文 2015年,《The State of Security》公布了11项重量级Bug赏金框架。自那时以来,众多企业甚至包括部分政府机关也开始启动自己的安全漏洞赏金计划(简称VRP)。而两年之后的今天,我们自然有必要对新一年中的相关计划作出回顾。

2017年十大重量级Bug赏金计划

1、苹果

网站: 仅限受邀

最低赏金: 无特定金额

最高赏金: 20万美元(约合人民币130.4万元)

最初亮相于2016年9月的苹果Bug赏金计划刚开始仅迎来20多位安全研究人员的参与,他们带来了自己发现的、技术巨头产品当中存在的软件漏洞。经过近一年的发展,该框架已经得到迅速扩展,且目前Bug赏金猎人的数量也在快速增长。不过由于未提供公开网站,与该计划相关的具体细节,以及哪些道德黑客参与其中未知。(Motherboard网站曾发布一份报道,质疑自该计划启动以来,可能并无任何安全研究人员向苹果方面真正提供漏洞信息。)

回顾:2017年TOP-10重量级Bug赏金计划-E安全

苹果安全工程与架构部门的伊万·凯斯蒂克在黑帽美国2016大会上公布了该Bug赏金计划的建立。根据仓皇介绍,苹果公司愿望为每项安全漏洞支付2万5千美元资金,前提是相关漏洞允许恶意人士立足沙箱进程访问该沙箱外的用户数据。与此同时,苹果方面还开出10万美元奖金以鼓励那些能够从苹果Secure Enclave技术当中成功提取出受保护数据的黑客。对于影响到其固件的安全问题,苹果开出的最高赏金数额为20万美元。

2. FACEBOOK

网站: https://www.facebook.com/whitehat

最低赏金: 500美元(约合人民币3260元)

最高赏金: 无特定金额

如果希望从Facebook公司的Bug赏金计划当中领取酬劳,大家可以向其提交与Facebook、Atlas、Instagram以及WhatsApp等高水平产品及并购成果的相关安全问题。不过社交巨头将部分安全问题排除在奖励范畴之外,具体包括社交工程技术、内容注入或拒绝服务(简称DoS)攻击等。提交此类问题的研究人员将无法获得奖励。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

根据其VRP相关说明,Facebook公司愿意支付至少500美元以奖励负责任的漏洞披露贡献,但一些低危漏洞可能无法获得奖励。参与计划的赏金猎人可以决定将自己的赏金捐献给其指定的慈善机构,如果选择这种方式,Facebook公司将把捐款额度提升一倍。

3. GitHub

网站: https://bounty.github.com/

最低赏金: 200美元

最高赏金: 1万美元(约合人民币6.52万元)

自2013年发布以来,已经有100多名安全研究人员参与到GitHub的Bug赏金计划当中。他们根据安全漏洞的严重程度对研究人员们提供的漏洞进行了评分。根据总体工作贡献,那些拥有最高总体积分的安全贡献者们将登上该赏金计划的贡献排行榜。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

参与GitHub Bug赏金框架的个人需要高度关注与开发者平台相关的API、CSP、企业、Gist以及各主要网站。在发布错误报告之后,研究人员将收到200美元到1万美元不等的奖励。不过需要强调的是,GitHub方面要求各安全研究人员尊重用户数据且不利用任何可能有损GitHub服务或者信息完整性的攻击手段。

4. 谷歌

网站: https://www.google.com/about/appsecurity/reward-program/

最低赏金: 300美元

最高赏金: 3万1337美元(约合人民币20.43万元)

Google.com、Youtbe.com以及.blogger域名之下的几乎一切内容皆适用于谷歌公司的安全漏洞奖励计划。但需要强调的是,该框架的范畴不包括可用于对谷歌公司内部员工施以攻击的恶意钓鱼活动。具体来讲,此计划仅适用于影响用户数据隐私及完整性的设计与实现问题。此类安全缺陷包括跨站脚本安全漏洞与认证缺陷等等。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

目前可用于夺取谷歌帐户、常规谷歌应用程序以及其它敏感应用程序控制权的远程代码执行类漏洞皆可获得最高额度3.1337万美元赏金。此类缺陷包括沙箱逸出与命令注入等。相比之下,以非集成化方式实现的远程用户伪造类错误仅能获得500美元奖励,而关注度更低的应用内跨站脚本攻击奖励则不超过100美元。

5. 英特尔

网站: https://security-center.intel.com/BugBountyProgram.aspx

最低赏金: 500美元

最高赏金: 3万美元(约合人民币19.56万元)

在今年3月召开的CanSecWest安全大会上,英特尔公司公布了针对其硬件(处理器、芯片组及固态硬盘等)、固件(BIOS、英特尔管理引擎以及主板等)以及软件(包括设备驱动程序、应用程序以及工具等)的Bug赏金计划。

不过此项计划不涵盖其最近收购的技术成果、该公司的Web基础设施、第三方产品或者任何与McAfee(此前曾为英特尔旗下安全事业部,但现在已进行独立拆分)相关的解决方案。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

对于在该公司硬件当中发现的安全漏洞,研究人员们将能够得到最高3万美元的奖励。但影响到英特尔软件的低危漏洞仅能为赏金猎人们带来500美元回报。值得注意的是如果任何参与其中的研究人员未遵循英特尔方面提出的漏洞披露协调要求,或者身为英特尔公司员工家属,则芯片巨头不会接受此类研究者提供的任何漏洞信息。

6. 微软

网站: https://technet.microsoft.com/en-us/library/dn425036.aspx

最低赏金: 500美元

最高赏金: 25万美元(约合人民币163.11万元)

微软公司的赏金计划与GitHub几乎同时起步,具体赏金额度也在不断变化。

研究人员们可以通过发现微软云服务当中的安全漏洞获得最高1.5万美元。如果您不满足于这点“小钱”,那么微软愿意为能够在Hyper-V当中发现Mitigation旁路问题或者高危远程代码执行漏洞的研究人员分别提供10万美元与2.5万美元的酬劳。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

2017年7月,微软方面启动了新的Windows Bug赏金计划,具体涵盖Windows内部预览版、微软Edge及其操作系统当中的其它重要功能。作为此项赏金扩展计划的一部分,提交Bug报告的参与者能够收到500美元到25万美元的奖励额度。感兴趣的朋友可以访问相关网站以了解此Windows Bug赏金框架的细节信息。

7. 五角大楼

网站: https://www.hackerone.com/resources/hack-the-pentagon

最低赏金: 100美元

最高赏金: 1万5千美元(约合人民币9.78万元)

美国军方的初次试水始于2016年4月与5月,其在“入侵五角大楼”项目当中邀请各安全研究人员发现并解决影响到美国国防部所运营的面向公众网站中存在的安全漏洞。该框架由国防部下辖的数字化防务局(简称DDS)与HackerOne所合作建立。自那时开始,五角大楼方面又对相关计划进行了持续扩展,其中包括引入更多合作部门并组织“入侵陆军”等倡议。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

入侵五角大楼”项目的组织经费约为15万美元。此次挑战活动共吸引到1410名研究人员与Bug赏金猎人的参与。他们总计发现了1189项安全漏洞,其中138项经国防媒体活动(简称DMA)小组证实其有效性与惟一性。因此,国防部在项目的第一年内即向安全研究人员们支付了约7万5千美元奖金。

8. Tor项目

网站: https://hackerone.com/torproject

最低赏金: 100美元

最高赏金: 4千美元(约合人民币26080元)

启动于2017年7月的Tor项目Bug赏金计划涵盖其两大核心匿名服务:网络守护程序与浏览器。这两项目标各自拥有自己的奖励标准与限制条件。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

在Tor网络方面,安全研究人员们能够获得100美元到4千美元不等的奖励,具体取决于所发现bug的严重程度。而从Tor所使用的第三方库中发现安全缺陷则能够带来最高2千美元的收益,其中不包括OpenSSL,但libevent则归属于赏金范畴。与此同时,赏金猎人们还可以通过在Tor浏览器中发现完整的代理回避方法或者类似的高危缺陷获得超过3千美元的奖金。

9. 优步

网站: https://hackerone.com/uber

最低赏金: 无特定金额

最高赏金: 1万美元(约合人民币6.52万元)

这一出行共享平台的安全漏洞奖励计划主要集中在用户及其员工身上。因此,其适用范围涵盖了可能以未经授权方式访问用户或者员工数据的安全威胁、伪造身份验证请求以及网络钓鱼攻击等方向。相关安全漏洞需要适用于Uber.com、Partners.uber.com以及Eats.uber.com等域名。不过赏金计划中并未涵盖不涉及任何技术问题的鱼叉式钓鱼攻击等威胁手段。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

优步会对每项安全漏洞的具体影响进行核算,具体指标包括所谓暴露程度以及用户数据敏感度等,同时根据用户交互或者物理访问限制提供0美元到1万美元之间的赏金额度,但网络钓鱼威胁的单一漏洞奖金不超过5千美元。

10. WORDPRESS

网站: https://hackerone.com/wordpress

最低赏金: 150美元

最高赏金: 无特定金额

WordPress主要关注跨站脚本(XSS)类Bug、服务器端请求伪造(SSRF)以及可能影响到用户安全性的其它安全问题。其对于暴力攻击、DDoS、网络钓鱼或者其它社交工程攻击手段不感兴趣。另外,其赏金计划亦不包括插件,安全研究人员可以提交与插件漏洞相关的错误报告,但WordPress管理委员会只负责将相关报告转交给受影响插件的开发人员。

回顾:2017年TOP-10重量级Bug赏金计划-E安全

与其它大多数赏金计划一样,WordPress同样要求参与项目的Bug赏金猎人们提供漏洞线索与概念验证(PoC)信息。另外,其还要求安全研究人员不可修改或者删除现场网站上的任何信息,同时在公布任何所发现的漏洞详细信息之前需要等待一段时间。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。