漏洞赏金允许发现计算机软件和服务中的安全漏洞的人获得金钱奖励。那么成为一名漏洞赏金猎人需要什么,你能以此谋生吗?
什么是漏洞赏金计划?
我们每天使用的软件和服务是由人类编写的,他们经常承受着启动和运行代码的压力,以便企业能够赚钱。尽管现代软件开发方法使软件几乎没有严重的问题,但一小部分开发人员无法预见每一种可能性或看到每一个错误。
将此与寻找代码盔甲中每一个可能漏洞的黑客大军进行比较,就很清楚为什么需要漏洞赏金计划了。这些计划为在所提供的应用程序和服务中发现可靠漏洞或其他合格类型问题的人提供奖励。
谁可以获得错误赏金?
原则上,谁发现漏洞或利用并不重要。重要的是公司了解它并在问题导致实际损害之前解决问题。在实践中,漏洞赏金通常由专业安全研究人员索取。这些专家故意试图找出系统中的弱点,要么获得报酬,要么预先为公司进行“渗透测试”。
这并不意味着如果你找到了就不能报告,但你需要查看提交的要求,看看你是否有报告问题所需的技术信息。
漏洞赏金计划并不完全相同
申请漏洞赏金的过程以及使您有资格获得付款的程序因程序而异。有问题的公司为其认为值得付费了解的问题制定了规则。它还将设置正确的格式来报告该问题,以及复制和验证问题所需知道的所有内容。
一份经过验证的报告的价值也会有所不同。一些公司规模庞大,在安全方面有大量预算。其他是依靠漏洞赏金计划来弥补其相对较小的永久性网络安全人员补充的小型企业或初创公司。在这种情况下,赏金可能会更温和。
在哪里可以找到错误赏金计划
检查您是否遇到可报告漏洞的第一个地方是制造产品或提供相关服务的公司网站。通常只有非常大的公司运行和管理他们自己的漏洞赏金计划。
较小的服装更有可能使用专门的漏洞赏金服务。例如, HackerOne 的漏洞赏金计划列表 促进了通过该站点管理的各个公司的计划。
漏洞赏金支付多少?
如果您访问了上面链接的 HackerOne 漏洞赏金列表,您可能已经注意到每个程序都列出了最低赏金金额。如果您打开其中一个程序,您将看到平均赏金支出以及奖励等级的统计数据,具体取决于漏洞的严重程度。
低、中、高严重性问题可能会带来几百到一千美元的损失,而严重漏洞可能会带来数千美元的损失。
多年来支付了一些真正令人震惊的赏金和大量优惠,但这有点像中了彩票。您需要成为发生百万分之一漏洞利用的人,并且它必须在拥有这种类型现金的大玩家的系统中。如果您想从漏洞赏金中谋生,您更有可能从通过系统渗透测试出现的小常见漏洞中获得稳定的收入。
热门跟贴