全球最大科技公司的 26 个漏洞赏金计划

已发表: 2022-02-17

漏洞赏金计划可帮助网站、服务和组织在其产品中发现问题(漏洞和漏洞)。

但是,这是怎么发生的? 它是什么? 为什么组织有它们?

在这里,我们将讨论它,以及由一些世界上最大的科技公司构建的漏洞赏金平台列表。

什么是漏洞赏金计划?

当独立研究人员和道德黑客在服务/网站中发现错误或安全漏洞时,错误赏金计划会奖励他们。

漏洞赏金计划是安全研究人员或黑客测试其技能的理想场所。 它给人一种公开竞争的感觉,并以您的技能为金钱而战。

根据您的活动,它最终可能会成为您的全职工作。 而且,对于某些人来说,这可能是一个有益的副业。

通常,如果您报告他们的服务存在严重问题,这些平台会提供巨额奖金。

同样重要的是要注意有两个不同的漏洞赏金平台。 一些公司更喜欢构建他们的平台,而另一些公司则使用现有的第三方漏洞赏金平台来添加目标/任务以获得上述奖励。

但是,有些确实有一组报告合格的最低要求。 因此,并非您报告的每个错误都会为您赢得奖励。

如果您在决定投入时间之前仔细阅读错误赏金计划的规则或指南,将会有所帮助。

为什么组织有漏洞赏金平台?

漏洞赏金

现在您知道,漏洞赏金计划让任何组织都可以让独立的安全研究人员(或他们不直接雇用的专业人员)在他们的产品/网站中发现漏洞和漏洞。

但是为什么大公司需要一个漏洞赏金计划呢?

他们不是已经拥有不断改进服务的熟练员工吗?

从技术上讲,是的。 但是,创建漏洞赏金平台的目的是让更多的安全研究人员审核或测试他们的服务(免费)。

确切地。

整个道德黑客和研究人员社区测试他们的服务并通过报告给他们反馈。

他们不必为工作支付前期费用。

只有当个人提交有效的错误或安全报告时,公司才会支付奖励(通常是有利可图的)。

总体而言,漏洞赏金计划对于公司改进产品是有利可图的,对于有道德的黑客和研究人员也同样有益。

所以,这是一个双赢的局面。

最大的漏洞赏金计划

漏洞赏金

全球有无数的漏洞赏金计划。 在这里,我们坚持一些可用的最突出的程序。

请注意,每个计划都有不同的资格和奖励规则。 有些为基于软件的问题提供奖励和认可,有些则为硬件提供奖励和认可。 因此,请务必检查资格标准、资格报告规则以及有资格获得奖品的漏洞类型。

苹果安全赏金

Apple Security Bounty 是道德黑客最大的平台之一。 它为 iCloud 及其智能手机上的各种安全问题提供高达 1,000,000 美元(一百万美元)的奖励。

不仅限于奖励奖品,而且在成功报告的同时参与 Apple 应该会给您的工作带来良好的公众认可。

他们还将赏金支付给一些符合条件的慈善机构,这很好。

元漏洞赏金

Meta,前身为 Facebook,也有它的漏洞赏金计划,又名 Whitehat。

奖金最高可达 45,000 美元。 根据错误的严重程度,奖金可能会更多(或更少)。

Meta 公开发布所有安全研究人员的姓名以感谢他们。 您可以找到自 2011 年及之前的研究人员的学分。

除此之外,他们还提供忠诚度计划,帮助您增加奖励(高达 20%)并获得 Meta 赞助的黑客活动旅行/旅行。

谷歌的 Bug Hunters

Bug Hunters 赏金计划可让您通过 Google(YouTube、Blogger 等)报告跨多个域/服务的问题

特别报告的奖励最高可达 30,000 美元甚至更多。

它们还具有一个学习平台,您可以在其中从现有示例中获取灵感/目标并随时学习。

微软漏洞赏金

微软漏洞赏金

Microsoft 漏洞赏金计划为您的工作提供了充分的贡献和获得认可的机会。

根据严重程度和报告类型,奖励最高可达 100 万美元或更多。

Mozilla 安全漏洞赏金

Mozilla 的安全计划对研究人员来说是一个令人兴奋的平台。 虽然他们没有公开披露对奖金的期望,但你的名字会出现在名人堂列表中。

推特

与其他人不同,Twitter 利用第三方漏洞赏金平台让研究人员加入。 最低赏金起价为 280 美元,最高可达 20,000 美元。

它还包括在 HackerOne 平台上的名人堂,以感谢符合条件的研究人员。

优步

优步的漏洞赏金计划也依赖于 HackerOne,你可以获得高达 15,000 美元的批评性报告,并让你的名字进入名人堂。

特斯拉

特斯拉的漏洞赏金计划可以在另一个第三方漏洞赏金平台 Bugcrowd 上找到。

根据资格标准,每个漏洞的奖励最高可达 15,000 美元。

英特尔漏洞赏金

英特尔的漏洞赏金计划可以在 initigriti 平台中找到。 对于研究人员来说,这是一个发现软件、固件和英特尔硬件问题的好机会。

奖励最高可达 100,000 美元。

腾讯安全响应中心

腾讯的漏洞赏金计划涵盖了各种资产,如微信、QQ、腾讯的网站、域名以及他们拥有的其他几个应用程序。

奖励可能不是最高的,基本披露最高可达 3800 美元; 你确实得到了名人堂委员会。

三星奖励计划

三星奖励计划是三星移动产品的漏洞赏金计划。

考虑到您的报告符合条件,根据问题的严重程度,奖励最高可达 2,00,000 美元甚至更多。 虽然您可以使用其官方网站报告它,但他们依靠 Bugcrowd 处理付款并联系研究人员。

思科 Meraki

思科的产品/产品处理以企业为中心的云控制 WiFi、路由和安全性,利用 Bugcrowd 来执行其漏洞赏金计划。 将其视为一项专业产品,发现问题所需的工作/技能可能具有挑战性或令人兴奋。

严重问题的奖励最高可达 10,000 美元。

Netflix 漏洞赏金

Netflix 漏洞赏金

Netflix 的漏洞赏金计划也可以在 Bugcrowd 上找到,其中列出了所有符合测试/报告条件的域/服务。

每个漏洞的奖励最高可达 20,000 美元。

贝宝

Paypal 的漏洞赏金计划利用了 HackerOne 平台。 此外,它需要启用两因素身份验证才能参与。

关键漏洞报告的奖励最高可达 20,000 美元。

直觉错误赏金

Intuit 是 QuickBooks、TurboTax、Mint 等产品背后的公司,提供使用其官方网站和 HackerOne 上的表格提交报告的能力。

在 HackerOne 中,漏洞赏金计划是私有的。 因此,您必须登录您的帐户才能验证和参与。

Shopify

作为最受欢迎的电子商务平台之一,Shopify 在 HackerOne 上的漏洞赏金计划可以为严重漏洞支付高达 50,000 美元的奖励。

阿里巴巴

阿里巴巴的 BugBounty 计划涵盖了其拥有的大部分网站/服务。 您可以从其官方网站提交漏洞报告,并期望获得高达 2500 美元的奖励。

声云

作为最大的开放音频平台之一,Soundcloud 提供基于 Bugcrowd 的漏洞赏金计划,如果出现严重漏洞报告,奖励最高可达 4500 美元。

您将通过 bugcrowd 获得通常的名人堂。

爱彼迎

Airbnb 通过 HackerOne 漏洞赏金平台提供高达 15,000 美元的奖励。 它还举办促销活动以鼓励黑客研究新的关键漏洞,同时提供 50% 的奖金。

Booking.com

Booking.com 不会在 HackerOne 上披露任何特定细节(符合条件的域名除外)。

您可以通过 HackerOne 的披露援助计划联系他们的安全团队。

小米

小米漏洞赏金

小米将 HackerOne 用于其漏洞赏金计划。 该计划涵盖为研究人员提供的多项服务,除了针对其业务产品中的关键漏洞提供高达 8000 美元的奖金外,还包括特殊奖励和奖金。

正方形

Square 是可用于智能手机的销售点应用程序。 对于其应用程序/网站的任何严重漏洞报告,它通过 Bugcrowd 上的错误赏金计划提供高达 5000 美元的奖励。

任天堂

任天堂的漏洞赏金计划可让您找到让玩家作弊、盗版游戏和其他技术问题的问题。

奖励最高可达 12,000 美元。

币库

Coinbase 是一个占主导地位的加密货币交易平台。 它通过 HackerOne 提供了一个漏洞赏金计划,奖励高达 50,000 美元。

Cloudflare

cloudflare 漏洞赏金

Cloudflare 提供大部分重要服务,帮助互联网公司保护和改进他们在网络上的产品。 它在 HackerOne 上的漏洞赏金计划描述了研究人员可以寻找的各种问题,以及指向所有必要文档的链接。

严重问题的奖励最高可达 3000 美元。

ExpressVPN

ExpressVPN 的漏洞赏金计划可以说是其他 VPN 服务提供商中最大的。

除了通常高达 2500 美元的奖励外,如果您是第一个报告远程代码执行漏洞或泄露客户端 IP 地址的漏洞,它还提供高达 1,00,000 美元的一次性奖金。

寻找错误、奖励和认可

考虑到漏洞赏金计划为道德黑客提供了一个测试他们技能的游乐场,对于任何独立研究人员和公司来说,改进他们的产品听起来都是个好主意。

遵循漏洞赏金计划中提到的规则/指南非常重要。 如果您不符合标准,您将浪费时间,您的报告将没有资格获得奖励。

您可能还对道德黑客训练场感兴趣。