随着网络空间犯罪和重大入侵事件的频繁出现,找到应用层漏洞的重要性逐渐凸现。开发人员与企业会在开发阶段,不断地检查代码以提升健全性。尽管这样,完全没有漏洞的应用程序是不存在的。因此,外部的审查机制成为刚需。
漏洞悬赏也称为漏洞奖励,这种机制可以把全世界的的白帽黑客、安全研究人员和安全爱好者聚合在一起,共同为企业产品或服务挖掘漏洞。下面是安全牛整理的2015年最值得关注的漏洞奖励计划:
1. 战斗黑客2015(Battlehack 2015)
平台语言:C++、JavaScript或Node.js
奖励金额:10万美元(一等奖),Xbox One(二等奖),Adafruit ARDX(三等奖)
“战斗黑客”堪称年度最具诱惑力的漏洞奖励赛事,它将在全球10座大都市巡回举行。此次赛事由贝宝、推特、脑树(Braintree)等科技巨头赞助。一等奖获得者将得到10万美元的奖金和“终极黑客”的头衔。
贝宝强调要为全世界各地的开发人员提供一个中心舞台,并为参赛人员提供额外的福利。包括饮食、啤酒茶歇、甚至是睡懒觉用的小隔间。最重要的是,战斗黑客的参赛人员可以保留他们所开发的任何软件的所有权。
2. 脸谱白帽子计划
平台语言:C++、PHP、D、Java、Python(服务端);JavaScript(客户端)
奖励金额:最低500美元,上不封顶
这个世界最大的社交媒体平台一直都对研究人员和白帽子偏爱有加。脸谱上有着上亿用户的个人信息和媒体文件,一直都是恶意黑客眼中的暴利之源。为了有效的防范入侵,脸谱奖励那些发现并提交安全问题的个人。2014年,脸谱共发放漏洞赏金130万美元。
脸谱设有专门的漏洞奖励团队来处理用户提交的内容,研究人员只需提交漏洞然后坐等漏洞奖励团队的回复。最低的奖励为500美元,而且不设上限。奖金额度由漏洞的严重性来决定,脸谱的漏洞赏金(Bug Bounty)页面会展示这些提交的漏洞。#p#
3. 谷歌漏洞奖励计划(VRP)
平台语言:C++、Java、Python、Go(服务端);JavaScript、Flash(客户端)
奖励金额:最低100美元,最高2万美元。
谷歌是当今网络上最具统治力的互联网公司。它从当初一个简单的搜索引擎进化成为现在的一个各种媒介的综合体,它的触角遍及每个家庭和每台移动设备。这种前所未有的规模也造成了它无所不在的安全风险。
谷歌最关注的漏洞类型有SQL注入、跨站脚本、跨站请求伪造和远程代码执行。发现这些漏洞的研究人员,将获得谷歌安全团队的充分认可并进入谷歌名人堂。2014年,谷歌共发放漏洞赏金150万美元。
4. 雅虎漏洞赏金计划
平台语言:JavaScript、PHP(服务端);JavaScript(客户端)
奖励金额:最低100美元,最高2万美元
如同脸谱,雅虎也有着自己处理白帽子黑客和安全研究人员提交漏洞报告的安全团队。提交的漏洞需要与雅虎和Flickr的应用程序相关。目前已发过的奖励最低为50美元,最高为1.5万美元。
雅虎的安全团队对合法的漏洞提交的响应时间为30个工作日,漏洞类型分为SQL注入、跨站脚本、跨站请求伪造、目录遍历、远程代码执行、信息泄露和内容欺骗(Content Spoofing)。#p#
5. Mozilla漏洞赏金
平台语言:C++、JavaScript、C、CSS、XUL、XBL
奖励金额:最低500美元,最高3000美元
全球最流行的火狐浏览器的所有者Mozilla,也已经实施了漏洞奖励计划。奖金发放范围基本为Mozilla的产品,如火狐、雷鸟和其他相关应用及服务,第三方插件和扩展不在赏金计划之内。
6. WordPress安全漏洞赏金计划
平台语言:PHP、MySQL
奖励金额:最低100美元,最高1000美元
由于友好的功能和弹性定制能力,WordPress近年来已经成为世界上最普及的内容管理系统之一。但其大量的第三方插件的使用,同样也使它成为一个极具安全风险的平台,尤其当许多网站并没有及时更新官方补丁的情况下。
WordPress的安全漏洞赏金额度从影响较小漏洞的100美元,到严重漏洞的1000美元。不仅如此,WordPress还为第三方插件的漏洞报告提供奖金,额度为125到250美元。#p#
7. Chromium计划
平台语言:C++
奖金额度:最低500美元,最高1.5万美元
Chrome奖励计划始于2010年1月,它按照漏洞严重程度和公众对白帽黑客所做工作的认可度发放奖金。当然,漏洞需与Chrome浏览器或Chrome操作系统相关。
奖金额度从500美元至1.5万美元,同时鼓励对Windows 8及以上版本、Windows XP和Vista的研究和分析,当然奖金可能会少一点。
8. 三星智能电视安全赏金计划
平台语言:Tizen,安卓
奖金额度:最低500美元,最高3000美元
作为世界领先的物联网电视生产商,三星的产品也需要不断的进行安全检测,以减少恶意黑客入侵的风险。除了奖金以外,三星也为提交漏洞的研究人员建立了名人堂,以培养新的漏洞挖掘文化。#p#
9. Avast漏洞赏金计划
平台语言:C++
奖金额度:400-10000美元
Avast是一家业界知名的防病毒厂商,但尽管这样,他们的产品也不能“百毒不侵”。
远程代码执行被Avast定义为最严重的漏洞类型,可拿到10000美元甚至更多的奖励。此外,Avast还鼓励研究人员找到利用DoS攻击令AvastSvc.exe进程崩溃的方法。比较特殊的是,Avast漏洞赏金计划不接受来自伊朗、叙利亚、古巴、朝鲜和苏丹等国家的漏洞提交。
10. 微软-在线服务漏洞赏金计划
平台语言:ASP.NET
奖金额度:最低500美元
微软最新的漏洞赏金计划官方伊始于2014年9月23日,只针对在线服务。这些在线服务的域名包括,Portal.office.com/outlook.com/lync.com/graph.windows.net等。
漏洞类型包括XSS/CSRF,提权注入和认证漏洞。微软至今为止已发出30万美元的奖金。#p#
11. GitHub安全漏洞赏金
平台语言:Ruby
奖金额度:最低100美元,最高5000美元
GitHub是世界上最大的代码托管服务社区。当前拥有340万用户,1600万个代码条目。因此,GitHub开展它的漏洞奖励计划并不令人意外。
12. 阿里巴巴集团漏洞奖励计划
平台语言:PHP、Python、JAVA、Javascript、C++
奖金额度:最高10万元
阿里巴巴集团一直致力于建设诚信、共赢、繁荣的电子商务产业生态圈,其中安全是其健康成长的核心要素。因此阿里巴巴集团成立安全应急响应中心(ASRC),与国内外安全专家合作共建阿里生态安全,以保障阿里巴巴集团数以亿计用户的安全。
ASRC通过“漏洞奖励计划”回馈各位白帽子安全专家。奖励除了常规的积分礼品兑换以外,在2014年初率先推出“阿里安全500万现金奖励计划”,奖励最高为10万元现金。#p#
13. 百度(BSRC)
平台语言:C++、PHP、Python、JAVA、Javascript
百度的漏洞响应平台(BSRC)通过社区的力量来完善自己的安全建设,通过和外界的积极交流获得更及时和全面的安全信息,对自身安全建设的疏漏点进行查漏补缺,使自身的安全能力得到更好的提高。
目前平台根据漏洞类型及造成的影响对漏洞进行综合评分,且不定期的针对白帽子开展多倍积分奖励。此外,BSRC计划在2015年举办多次聚焦某个安全领域的安全专题沙龙。
14. 京东(JSRC)
平台语言:C++、PHP、Python、JAVA、Javascript
奖金额度:最高3万元
京东安全应急响应中心平台(JSRC)自2014年以来,入驻白帽安全专家100多名,收到高质量漏洞300多个。并于2015年1月开展了四倍积分奖励活动,与安全爱好者建立了友好的合作关系。