漏洞懸賞計劃仍然是2024年網絡安全戰略的重要組成部分，為組織提供了從各種網絡安全專業人員和研究人員那里獲得幫助的能力。Bugcrowd、HackerOne、Synack、YesWeHack和integriti等領先的漏洞獎勵平臺將道德黑客與組織聯系起來，為漏洞披露和解決方案提供結構化框架，并為成功識別和報告安全漏洞的行為提供獎勵。技術提供商和政府組織也會運行獨立的漏洞懸賞計劃，作為更廣泛的安全測試策略的一部分。

以下是2024年最受矚目的11個頂級漏洞懸賞項目：

Alphabet提高懸賞金額

今年7月，Alphabet意識到隨著其系統變得越來越成熟，發現漏洞變得越來越困難，并通過漏洞懸賞計劃將提供的獎勵提升至最高151515美元。支付金額將反映報告的質量，特別高質量的報告將在基準支付的基礎上增加50%的獎金。相反地，質量差但有效的漏洞披露只會獲得應得獎勵的一半。

例如，一個導致Gmail帳戶被接管的邏輯缺陷將獲得5萬美元乘以1.5倍的潛在質量乘數，最高可獲得7.5萬美元。而在今年獎金增加之前，同樣的漏洞只能賺到13337美元。

Google的Web服務、Chrome瀏覽器、Android和谷歌設備等產品都涵蓋在其漏洞獎勵計劃（VRP）中。

微軟修改了長期運行的漏洞披露計劃

微軟也不甘示弱，在過去一年里大幅增加了漏洞賞金。從2020年到2023年，微軟每年通過漏洞懸賞計劃支付了大約1300萬美元。然而，在2024年，這一數額增加到了1660萬美元。來自55個國家的343名安全研究人員獲得了獎金。包括Azure、Microsoft Identity、Edge、Windows和Office 365在內的云服務都涵蓋在該計劃范圍內。

微軟在一篇回顧其漏洞賞金計劃的博文中表示：“隨著安全形勢和微軟攻擊面的演變，微軟賞金計劃也在不斷發展。無論是擴大范圍以涵蓋新的微軟產品和服務，還是調整研究目標以防止惡意行為者和新型攻擊媒介，微軟賞金計劃都在不斷改進和完善。”

今年4月，微軟還專門針對人工智能推出了一項新的漏洞賞金計劃，為涉及其Copilot人工智能技術的漏洞報告提供高達1.5萬美元的獎金。

英國軍隊武裝自己以抵御安全威脅

今年2月，英國國防部（MOD）宣布將與HackerOne合作擴大防御安全計劃。

這個為期三年的項目最初的范圍包括漏洞披露和漏洞懸賞計劃。國防部現在已經擴大了漏洞披露計劃（VDP）的范圍，將多個主要供應商納入其中，作為更廣泛計劃的一部分，以改善供應鏈安全，并最終推動他們引入自己的漏洞披露計劃。

云軟件即服務協作平臺提供商Kahootz是國防部供應商VDP計劃的首批采用者。

英國的計劃至少在一定程度上受到了美國“黑進五角大樓”（Hack the Pentagon）計劃的啟發。

關鍵的Backpack漏洞獎金高達10萬美元

那些希望獲得更多經濟回報的道德黑客可以挖挖Backpack的漏洞，它是一家專注于非托管錢包和瀏覽器擴展的交易所。今年7月份，Backpack與Immunefi平臺合作推出了漏洞懸賞項目，對確認為Backpack網絡或API中的漏洞提供高達10萬美元的獎勵。

人工智能初創公司Anthropic推出漏洞報告計劃

今年8月，人工智能初創公司Anthropic與由HackerOne合作推出了一項漏洞披露計劃（VDP）為可能暴露CBRN（化學、生物、放射性和核）和網絡安全等關鍵高風險領域的新穎漏洞、通用越獄攻擊提供高達1.5萬美元的獎勵。

人工智能中的越獄攻擊涉及一種繞過人工智能系統內置安全措施和道德準則的方法，允許用戶從人工智能系統中引出通常會被阻止的反應或行為。

Anthropic在一篇關于改進計劃的博客文章中表示：“在我們致力于開發下一代人工智能保護系統的同時，我們正在擴大我們的漏洞懸賞計劃，引入一項新的舉措，重點是發現我們用來防止模型被濫用的緩解措施中的缺陷。”

該漏洞披露計劃（VDP）提供了一個結構化的系統，使安全研究人員可以更輕松地報告漏洞。隨著時間的推移，許多組織已經從VDP過渡到成熟的漏洞懸賞計劃。

Anthropic的VDP涵蓋其面向公眾的網站和其他數字資產，包括Claude iOS應用程序、Claude.ai域、內部應用程序和服務、API和軟件開發工具包。

法國政府機構提供高達5000歐元的獎金

負責法國國家數字化轉型的機構DINUM正在通過YesWeHack提供一項漏洞懸賞計劃。

該計劃于2月份啟動，主要針對DINUM的Web應用程序和API。該計劃歡迎上報經典的web應用程序安全漏洞，包括SQL注入、跨站點腳本、跨站點請求偽造和遠程代碼執行等。

如果針對范圍內的資產進行攻擊能夠暴露有效憑據將獲得高達5000歐元的獎勵。有關敏感信息泄露的報告不在該計劃的范圍之內。

Netflix接收漏洞懸賞報告

Netflix的漏洞懸賞計劃旨在通過眾包黑客社區的安全漏洞報告來提高其產品和服務的安全性。該項目于2018年公開，最初由Bugcrowd托管，之后轉移到HackerOne。

該計劃的最新版本于今年5月推出，為發現最嚴重漏洞的安全研究人員提供最高2.5萬美元的獎勵。高嚴重性目標包括破壞內容授權或獲取私鑰的方法。Netflix的iOS和Android移動應用程序也在考慮范圍之內。

Airbnb改進漏洞懸賞計劃

今年5月，Airbnb通過HackerOne推出了一項改進后的漏洞懸賞計劃。發現Airbnb網站或移動應用程序漏洞的道德黑客可獲得高達2.5萬美元的獎金。

該計劃涵蓋在線寄宿家庭市場的各種web應用程序安全漏洞。

自2015年首次推出該計劃以來，Airbnb已經通過該計劃支付了總計240萬美元的獎金。漏洞披露程序迄今已解決了1394份報告。平均賞金從500美元到750美元不等。

英國數字銀行Monzo寄希望于漏洞懸賞計劃

今年7月，英國數字銀行Monzo通過integriti推出了一項公共漏洞懸賞計劃。該計劃為經過驗證的關鍵漏洞發現提供高達1.25萬歐元的獎勵。

該計劃涵蓋銀行網站、API、內部工具和移動應用程序中的安全漏洞。

Grafana尋求黑客幫助根除源代碼缺陷

Grafana是一個用于監控和可觀察性的開源平臺，它也通過Integriti推出了一項漏洞懸賞計劃。通過5月份啟動的該計劃，報告關鍵漏洞和經過驗證的漏洞可以獲得高達1.5萬歐元的獎金。

該項目旨在激勵道德黑客發現Grafana軟件中的漏洞。Grafana實驗室開發的未默認安裝的插件漏洞也接受提交，但沒有資格獲得賞金。

Bluefin漏洞賞金高達五千美元

今年7月，Bluefin與Web3的漏洞賞金和安全服務平臺Immunefi合作推出了一項漏洞懸賞計劃。

該計劃提供高達5000美元的獎勵，其中trade.bluefin.io網站和相關資產是重中之重。

范圍涵蓋各種網絡安全漏洞，包括SQL注入、跨站請求偽造以及導致敏感信息泄露的錯誤。此外，業務邏輯問題和支付操縱問題也有資格獲得潛在獎勵。

原文鏈接：https://www.csoonline.com/article/657751/top-bug-bounty-programs.html