2017年十大重量級Bug賞金計劃

E安全9月5日文 2015年，《The State of Security》公布了11項重量級Bug賞金框架。自那時以來，眾多企業甚至包括部分政府機關也開始啟動自己的安全漏洞賞金計劃（簡稱VRP）。而兩年之後的今天，我們自然有必要對新一年中的相關計劃作出回顧。

網站: 僅限受邀

最低賞金: 無特定金額

最高賞金: 20萬美元（約合人民幣130.4萬元）

最初亮相於2016年9月的蘋果Bug賞金計劃剛開始僅迎來20多位安全研究人員的參與，他們帶來了自己發現的、技術巨頭產品當中存在的軟體漏洞。經過近一年的發展，該框架已經得到迅速擴展，且目前Bug賞金獵人的數量也在快速增長。不過由於未提供公開網站，與該計劃相關的具體細節，以及哪些道德黑客參與其中未知。（Motherboard網站曾發布一份報道，質疑自該計劃啟動以來，可能並無任何安全研究人員向蘋果方面真正提供漏洞信息。）

蘋果安全工程與架構部門的伊萬·凱斯蒂克在黑帽美國2016大會上公布了該Bug賞金計劃的建立。根據倉皇介紹，蘋果公司願望為每項安全漏洞支付2萬5千美元資金，前提是相關漏洞允許惡意人士立足沙箱進程訪問該沙箱外的用戶數據。與此同時，蘋果方面還開出10萬美元獎金以鼓勵那些能夠從蘋果Secure Enclave技術當中成功提取出受保護數據的黑客。對於影響到其固件的安全問題，蘋果開出的最高賞金數額為20萬美元。

網站: https://www.facebook.com/whitehat

最低賞金: 500美元（約合人民幣3260元）

最高賞金: 無特定金額

如果希望從Facebook公司的Bug賞金計劃當中領取酬勞，大家可以向其提交與Facebook、Atlas、Instagram以及WhatsApp等高水平產品及併購成果的相關安全問題。不過社交巨頭將部分安全問題排除在獎勵範疇之外，具體包括社交工程技術、內容注入或拒絕服務（簡稱DoS）攻擊等。提交此類問題的研究人員將無法獲得獎勵。

根據其VRP相關說明，Facebook公司願意支付至少500美元以獎勵負責任的漏洞披露貢獻，但一些低危漏洞可能無法獲得獎勵。參與計劃的賞金獵人可以決定將自己的賞金捐獻給其指定的慈善機構，如果選擇這種方式，Facebook公司將把捐款額度提升一倍。

網站: https://bounty.github.com/

最低賞金: 200美元

最高賞金: 1萬美元（約合人民幣6.52萬元）

自2013年發布以來，已經有100多名安全研究人員參與到GitHub的Bug賞金計劃當中。他們根據安全漏洞的嚴重程度對研究人員們提供的漏洞進行了評分。根據總體工作貢獻，那些擁有最高總體積分的安全貢獻者們將登上該賞金計劃的貢獻排行榜。

參與GitHub Bug賞金框架的個人需要高度關注與開發者平台相關的API、CSP、企業、Gist以及各主要網站。在發布錯誤報告之後，研究人員將收到200美元到1萬美元不等的獎勵。不過需要強調的是，GitHub方面要求各安全研究人員尊重用戶數據且不利用任何可能有損GitHub服務或者信息完整性的攻擊手段。

網站: https://www.google.com/about/appsecurity/reward-program/

最低賞金: 300美元

最高賞金: 3萬1337美元（約合人民幣20.43萬元）

Google.com、Youtbe.com以及.blogger域名之下的幾乎一切內容皆適用於谷歌公司的安全漏洞獎勵計劃。但需要強調的是，該框架的範疇不包括可用於對谷歌公司內部員工施以攻擊的惡意釣魚活動。具體來講，此計劃僅適用於影響用戶數據隱私及完整性的設計與實現問題。此類安全缺陷包括跨站腳本安全漏洞與認證缺陷等等。

目前可用於奪取谷歌帳戶、常規谷歌應用程序以及其它敏感應用程序控制權的遠程代碼執行類漏洞皆可獲得最高額度3.1337萬美元賞金。此類缺陷包括沙箱逸出與命令注入等。相比之下，以非集成化方式實現的遠程用戶偽造類錯誤僅能獲得500美元獎勵，而關注度更低的應用內跨站腳本攻擊獎勵則不超過100美元。

網站: https://security-center.intel.com/BugBountyProgram.aspx

最低賞金: 500美元

最高賞金: 3萬美元（約合人民幣19.56萬元）

在今年3月召開的CanSecWest安全大會上，英特爾公司公布了針對其硬體（處理器、晶元組及固態硬碟等）、固件（BIOS、英特爾管理引擎以及主板等）以及軟體（包括設備驅動程序、應用程序以及工具等）的Bug賞金計劃。

不過此項計劃不涵蓋其最近收購的技術成果、該公司的Web基礎設施、第三方產品或者任何與McAfee（此前曾為英特爾旗下安全事業部，但現在已進行獨立拆分）相關的解決方案。

對於在該公司硬體當中發現的安全漏洞，研究人員們將能夠得到最高3萬美元的獎勵。但影響到英特爾軟體的低危漏洞僅能為賞金獵人們帶來500美元回報。值得注意的是如果任何參與其中的研究人員未遵循英特爾方面提出的漏洞披露協調要求，或者身為英特爾公司員工家屬，則晶元巨頭不會接受此類研究者提供的任何漏洞信息。

網站: https://technet.microsoft.com/en-us/library/dn425036.aspx

最低賞金: 500美元

最高賞金: 25萬美元（約合人民幣163.11萬元）

微軟公司的賞金計劃與GitHub幾乎同時起步，具體賞金額度也在不斷變化。

研究人員們可以通過發現微軟雲服務當中的安全漏洞獲得最高1.5萬美元。如果您不滿足於這點「小錢」，那麼微軟願意為能夠在Hyper-V當中發現Mitigation旁路問題或者高危遠程代碼執行漏洞的研究人員分別提供10萬美元與2.5萬美元的酬勞。

2017年7月，微軟方面啟動了新的Windows Bug賞金計劃，具體涵蓋Windows內部預覽版、微軟Edge及其操作系統當中的其它重要功能。作為此項賞金擴展計劃的一部分，提交Bug報告的參與者能夠收到500美元到25萬美元的獎勵額度。感興趣的朋友可以訪問相關網站以了解此Windows Bug賞金框架的細節信息。

網站: https://www.hackerone.com/resources/hack-the-pentagon

最低賞金: 100美元

最高賞金: 1萬5千美元（約合人民幣9.78萬元）

美國軍方的初次試水始於2016年4月與5月，其在「入侵五角大樓」項目當中邀請各安全研究人員發現並解決影響到美國國防部所運營的面向公眾網站中存在的安全漏洞。該框架由國防部下轄的數字化防務局（簡稱DDS）與HackerOne所合作建立。自那時開始，五角大樓方面又對相關計划進行了持續擴展，其中包括引入更多合作部門並組織「入侵陸軍」等倡議。

「入侵五角大樓」項目的組織經費約為15萬美元。此次挑戰活動共吸引到1410名研究人員與Bug賞金獵人的參與。他們總計發現了1189項安全漏洞，其中138項經國防媒體活動（簡稱DMA）小組證實其有效性與惟一性。因此，國防部在項目的第一年內即向安全研究人員們支付了約7萬5千美元獎金。

網站: https://hackerone.com/torproject

最低賞金: 100美元

最高賞金: 4千美元（約合人民幣26080元）

啟動於2017年7月的Tor項目Bug賞金計劃涵蓋其兩大核心匿名服務：網路守護程序與瀏覽器。這兩項目標各自擁有自己的獎勵標準與限制條件。

在Tor網路方面，安全研究人員們能夠獲得100美元到4千美元不等的獎勵，具體取決於所發現bug的嚴重程度。而從Tor所使用的第三方庫中發現安全缺陷則能夠帶來最高2千美元的收益，其中不包括OpenSSL，但libevent則歸屬於賞金範疇。與此同時，賞金獵人們還可以通過在Tor瀏覽器中發現完整的代理迴避方法或者類似的高危缺陷獲得超過3千美元的獎金。

網站: https://hackerone.com/uber

這一出行共享平台的安全漏洞獎勵計劃主要集中在用戶及其員工身上。因此，其適用範圍涵蓋了可能以未經授權方式訪問用戶或者員工數據的安全威脅、偽造身份驗證請求以及網路釣魚攻擊等方向。相關安全漏洞需要適用於Uber.com、Partners.uber.com以及Eats.uber.com等域名。不過賞金計劃中並未涵蓋不涉及任何技術問題的魚叉式釣魚攻擊等威脅手段。

優步會對每項安全漏洞的具體影響進行核算，具體指標包括所謂暴露程度以及用戶數據敏感度等，同時根據用戶交互或者物理訪問限制提供0美元到1萬美元之間的賞金額度，但網路釣魚威脅的單一漏洞獎金不超過5千美元。

網站: https://hackerone.com/wordpress

最低賞金: 150美元

最高賞金: 無特定金額

WordPress主要關注跨站腳本（XSS）類Bug、伺服器端請求偽造（SSRF）以及可能影響到用戶安全性的其它安全問題。其對於暴力攻擊、DDoS、網路釣魚或者其它社交工程攻擊手段不感興趣。另外，其賞金計劃亦不包括插件，安全研究人員可以提交與插件漏洞相關的錯誤報告，但WordPress管理委員會只負責將相關報告轉交給受影響插件的開發人員。

與其它大多數賞金計劃一樣，WordPress同樣要求參與項目的Bug賞金獵人們提供漏洞線索與概念驗證（PoC）信息。另外，其還要求安全研究人員不可修改或者刪除現場網站上的任何信息，同時在公布任何所發現的漏洞詳細信息之前需要等待一段時間。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！