白帽子看過來:2015年漏洞獎勵計劃大盤點
隨著網絡空間犯罪和重大入侵事件的頻繁出現,找到應用層漏洞的重要性逐漸凸現。開發人員與企業會在開發階段,不斷地檢查代碼以提升健全性。盡管這樣,完全沒有漏洞的應用程序是不存在的。因此,外部的審查機制成為剛需。
漏洞懸賞也稱為漏洞獎勵,這種機制可以把全世界的的白帽黑客、安全研究人員和安全愛好者聚合在一起,共同為企業產品或服務挖掘漏洞。下面是安全牛整理的2015年最值得關注的漏洞獎勵計劃:
1. 戰斗黑客2015(Battlehack 2015)
平臺語言:C++、JavaScript或Node.js
獎勵金額:10萬美元(一等獎),Xbox One(二等獎),Adafruit ARDX(三等獎)
“戰斗黑客”堪稱年度最具誘惑力的漏洞獎勵賽事,它將在全球10座大都市巡回舉行。此次賽事由貝寶、推特、腦樹(Braintree)等科技巨頭贊助。一等獎獲得者將得到10萬美元的獎金和“終極黑客”的頭銜。
貝寶強調要為全世界各地的開發人員提供一個中心舞臺,并為參賽人員提供額外的福利。包括飲食、啤酒茶歇、甚至是睡懶覺用的小隔間。最重要的是,戰斗黑客的參賽人員可以保留他們所開發的任何軟件的所有權。
2. 臉譜白帽子計劃
平臺語言:C++、PHP、D、Java、Python(服務端);JavaScript(客戶端)
獎勵金額:最低500美元,上不封頂
這個世界最大的社交媒體平臺一直都對研究人員和白帽子偏愛有加。臉譜上有著上億用戶的個人信息和媒體文件,一直都是惡意黑客眼中的暴利之源。為了有效的防范入侵,臉譜獎勵那些發現并提交安全問題的個人。2014年,臉譜共發放漏洞賞金130萬美元。
臉譜設有專門的漏洞獎勵團隊來處理用戶提交的內容,研究人員只需提交漏洞然后坐等漏洞獎勵團隊的回復。最低的獎勵為500美元,而且不設上限。獎金額度由漏洞的嚴重性來決定,臉譜的漏洞賞金(Bug Bounty)頁面會展示這些提交的漏洞。#p#
3. 谷歌漏洞獎勵計劃(VRP)
平臺語言:C++、Java、Python、Go(服務端);JavaScript、Flash(客戶端)
獎勵金額:最低100美元,最高2萬美元。
谷歌是當今網絡上最具統治力的互聯網公司。它從當初一個簡單的搜索引擎進化成為現在的一個各種媒介的綜合體,它的觸角遍及每個家庭和每臺移動設備。這種前所未有的規模也造成了它無所不在的安全風險。
谷歌最關注的漏洞類型有SQL注入、跨站腳本、跨站請求偽造和遠程代碼執行。發現這些漏洞的研究人員,將獲得谷歌安全團隊的充分認可并進入谷歌名人堂。2014年,谷歌共發放漏洞賞金150萬美元。
4. 雅虎漏洞賞金計劃
平臺語言:JavaScript、PHP(服務端);JavaScript(客戶端)
獎勵金額:最低100美元,最高2萬美元
如同臉譜,雅虎也有著自己處理白帽子黑客和安全研究人員提交漏洞報告的安全團隊。提交的漏洞需要與雅虎和Flickr的應用程序相關。目前已發過的獎勵最低為50美元,最高為1.5萬美元。
雅虎的安全團隊對合法的漏洞提交的響應時間為30個工作日,漏洞類型分為SQL注入、跨站腳本、跨站請求偽造、目錄遍歷、遠程代碼執行、信息泄露和內容欺騙(Content Spoofing)。#p#
5. Mozilla漏洞賞金
平臺語言:C++、JavaScript、C、CSS、XUL、XBL
獎勵金額:最低500美元,最高3000美元
全球最流行的火狐瀏覽器的所有者Mozilla,也已經實施了漏洞獎勵計劃。獎金發放范圍基本為Mozilla的產品,如火狐、雷鳥和其他相關應用及服務,第三方插件和擴展不在賞金計劃之內。
6. WordPress安全漏洞賞金計劃
平臺語言:PHP、MySQL
獎勵金額:最低100美元,最高1000美元
由于友好的功能和彈性定制能力,WordPress近年來已經成為世界上最普及的內容管理系統之一。但其大量的第三方插件的使用,同樣也使它成為一個極具安全風險的平臺,尤其當許多網站并沒有及時更新官方補丁的情況下。
WordPress的安全漏洞賞金額度從影響較小漏洞的100美元,到嚴重漏洞的1000美元。不僅如此,WordPress還為第三方插件的漏洞報告提供獎金,額度為125到250美元。#p#
7. Chromium計劃
平臺語言:C++
獎金額度:最低500美元,最高1.5萬美元
Chrome獎勵計劃始于2010年1月,它按照漏洞嚴重程度和公眾對白帽黑客所做工作的認可度發放獎金。當然,漏洞需與Chrome瀏覽器或Chrome操作系統相關。
獎金額度從500美元至1.5萬美元,同時鼓勵對Windows 8及以上版本、Windows XP和Vista的研究和分析,當然獎金可能會少一點。
8. 三星智能電視安全賞金計劃
平臺語言:Tizen,安卓
獎金額度:最低500美元,最高3000美元
作為世界領先的物聯網電視生產商,三星的產品也需要不斷的進行安全檢測,以減少惡意黑客入侵的風險。除了獎金以外,三星也為提交漏洞的研究人員建立了名人堂,以培養新的漏洞挖掘文化。#p#
9. Avast漏洞賞金計劃
平臺語言:C++
獎金額度:400-10000美元
Avast是一家業界知名的防病毒廠商,但盡管這樣,他們的產品也不能“百毒不侵”。
遠程代碼執行被Avast定義為最嚴重的漏洞類型,可拿到10000美元甚至更多的獎勵。此外,Avast還鼓勵研究人員找到利用DoS攻擊令AvastSvc.exe進程崩潰的方法。比較特殊的是,Avast漏洞賞金計劃不接受來自伊朗、敘利亞、古巴、朝鮮和蘇丹等國家的漏洞提交。
10. 微軟-在線服務漏洞賞金計劃
平臺語言:ASP.NET
獎金額度:最低500美元
微軟最新的漏洞賞金計劃官方伊始于2014年9月23日,只針對在線服務。這些在線服務的域名包括,Portal.office.com/outlook.com/lync.com/graph.windows.net等。
漏洞類型包括XSS/CSRF,提權注入和認證漏洞。微軟至今為止已發出30萬美元的獎金。#p#
11. GitHub安全漏洞賞金
平臺語言:Ruby
獎金額度:最低100美元,最高5000美元
GitHub是世界上最大的代碼托管服務社區。當前擁有340萬用戶,1600萬個代碼條目。因此,GitHub開展它的漏洞獎勵計劃并不令人意外。
12. 阿里巴巴集團漏洞獎勵計劃
平臺語言:PHP、Python、JAVA、Javascript、C++
獎金額度:最高10萬元
阿里巴巴集團一直致力于建設誠信、共贏、繁榮的電子商務產業生態圈,其中安全是其健康成長的核心要素。因此阿里巴巴集團成立安全應急響應中心(ASRC),與國內外安全專家合作共建阿里生態安全,以保障阿里巴巴集團數以億計用戶的安全。
ASRC通過“漏洞獎勵計劃”回饋各位白帽子安全專家。獎勵除了常規的積分禮品兌換以外,在2014年初率先推出“阿里安全500萬現金獎勵計劃”,獎勵最高為10萬元現金。#p#
13. 百度(BSRC)
平臺語言:C++、PHP、Python、JAVA、Javascript
百度的漏洞響應平臺(BSRC)通過社區的力量來完善自己的安全建設,通過和外界的積極交流獲得更及時和全面的安全信息,對自身安全建設的疏漏點進行查漏補缺,使自身的安全能力得到更好的提高。
目前平臺根據漏洞類型及造成的影響對漏洞進行綜合評分,且不定期的針對白帽子開展多倍積分獎勵。此外,BSRC計劃在2015年舉辦多次聚焦某個安全領域的安全專題沙龍。
14. 京東(JSRC)
平臺語言:C++、PHP、Python、JAVA、Javascript
獎金額度:最高3萬元
京東安全應急響應中心平臺(JSRC)自2014年以來,入駐白帽安全專家100多名,收到高質量漏洞300多個。并于2015年1月開展了四倍積分獎勵活動,與安全愛好者建立了友好的合作關系。
