漏洞赏金计划是开发人员和软件公司之间关系的新趋势。各种组织已经开始邀请独立的安全研究人员来测试他们的系统对黑客社区最常见的攻击的脆弱性。赏金计划还为可能的罪犯提供了在对与错之间做出选择的机会。这有点像野生网络中的好,坏和丑陋。
在2013,独立安全研究员Roy Castillo在Facebook中暴露了一个错误,您可以在其中查看任何Facebook用户的真实电子邮件地址。罗伊没有为了自己的利益而使用这个bug,而是向Facebook通报了这个bug,并获得了4,500美元的赏金奖励。罗伊写了一篇文章 ,介绍了这个bug以及他在通知Facebook后获得的奖励。
一个不太幸福的结局是,加拿大的一名学生因暴露学院申请系统中的缺陷而被开除,该缺陷暴露了大约250,000名学生的敏感信息,例如社会安全号码,地址和电话号码。
有许多这样的故事,各种公司提供的赏金计划已成为安全研究人员的收入来源。发现和报告弱点对研究人员和公司来说是一个真正的双赢局面。公司根据系统中赏金猎人暴露的安全风险强度,公开发现弱点的价格。Google为Google产品中暴露的最严重威胁提供高达20,000美元的赏金奖励。
以下是一些知名公司提供的bug赏金计划:
- Facebook白帽计划-奖励范围: $500-天空是极限
- Google漏洞计划奖励范围: $100 – $20,000
- 雅虎Bug赏金计划奖励范围: $100 – $20,000
- GitHub安全计划奖励范围: $100 – $5,000
最近,微软还为Visual Studio推出了一项赏金计划,在该计划中,一名研究人员在发现该漏洞后,可以获得高达15,000美元的奖励。今年早些时候,微软还开始了一项针对Windows 10的赏金计划,奖金为50,000美元,9月是暴露Windows 10中身份验证漏洞的研究人员的100,000美元。
Visual Studio赏金计划
上个月,微软宣布了一项为期三个月的bug赏金计划,用于组成Visual studio的两个工具。核心CLR,它是.Net Core和ASP.Net 5。此公告是在Microsoft推出ASP之后发布的。Net 5 Beta 8版本。发现漏洞的研究人员。Net core运行时和ASP.Net 5将有资格获得此奖励。赏金的大小将取决于所报告问题的质量和复杂性。
那么什么被归类为 “脆弱性”?它们包括远程代码执行,安全设计缺陷,特权提升,远程DoS,篡改/欺骗,信息泄漏和模板CSRF或XSS。对于符合条件的提交,所有报告的问题都需要概念证明。尽管奖励价格高达15,000美元,但根据报告的漏洞问题的复杂性和质量,微软可能会支付更高的价格。
您可以通过以下方式找到该计划的条款和条件给你.
为什么微软现在要这么做?
根据Barry Dorrans在Visual Studio赏金计划正式发布时的帖子 ,微软希望该框架能够 “尽可能安全”。由于大多数软件是建立在核心CLR和ASP。Net 5,这是很合乎逻辑的,该框架必须是安全的,以便建立在它的软件是安全的。大多数客户使用Visual Studio及其开发工具来编写软件,此赏金计划将帮助Microsoft在所有平台上改进框架的安全性。
目前,微软已经在ASP测试版发布期间启动了赏金计划。Net 5,这将帮助科技巨头在ASP.Net的预发布过程中识别安全问题。Net最终版本。
会期: 10月20日,2016月2015日至1月20日 (3个月)
开发人员/研究人员有什么用?
赏金将适用于Core CLR和ASP支持的所有支持平台。Net 5,如Windows、Linux和OS X。全球各地的个人都有机会提交在Windows、Linux和MacOS上运行的最新预发布版本的CoreCLR和ASP.NET 5中发现的漏洞
奖励范围: $500 – $15,000
谁可以参加?
根据Microsoft Core CLR和ASP.Net 5 Bug赏金计划条款和条件 ,符合条件的提交标准为:
- 14岁。如果您未满14岁,并且在您的国家/地区被视为未成年人,那么您将需要法定监护人的许可。
- 你应该是个人研究员,或者如果你被雇用,那么你的公司应该明确允许你参加。
- 你也不应该属于不合格的标准,列在 “谁没有资格参加?” 在这里。
多年来,微软已经改进了针对各种工具的bug赏金计划,以减少其软件受到攻击的漏洞。最近,微软宣布将为其在线服务中的身份验证漏洞支付高达30,000美元的费用。安全研究员Wesley Wineber被授予 $24,000,以发现影响e live.com服务的关键身份验证漏洞。所以,有机会成为克林特·伊斯特伍德的一天,或金发女郎,因为他的性格被称为,成为的好 ,并得到寻找错误-你可以打击幸运! </p