2017.W41 - Bounty Program (赏金计画) > Bounty 跟新创一样 第一份报告很重要 ## 前言 ## 处理公司的 Bounty Program 活动都会遇到蛮极端的几种状况 1- 写得很专业 几乎可以马上判断是否是安全问题 2- 写得很烂 光来回询问细节就需要 2 ~ 4 次来回信件 3- 乱枪打鸟 问一下细节就无声卡 ## 内容 ## Bounty Program[1] 是一种变相委外的资安审计活动 藉由这个活动让白帽[2]藉由提报安全性漏洞来名、利双收 公司也可以藉由这个活动 收到且及早修复尚未爆发的安全性疑虑 目前有很多公开的 Bounty Program 平台让各公司可以发布 Bounty Program 内容包含列举受理的 Bounty 范围以及相对应的奖金 以知名网站 PornHub 在 HackerOne 平台中[3] 为例 他明确列举了五个受理 (In-Scope) 的网域 以及明确排除的次级网域 (Sub-Domain) 并针对各种类型的安全性漏洞 标注从 $50 ~ $15000 不等的价格 举例来说： 针对核心网站发现 RCE (Remote Code Execute) 就可以获得 $15000 的奖励与声望 每个 Bounty Program 活动中 都会有明确排除条款 (Exception / Rules) 这是为了避免安全研究员在挖掘漏洞的时候 影响到公司的正常服务 像是 + DoS (Denial-of-Service) + Compromise user data and/or account + Prematurely announce the details 并为了让研究人员专注在公司预期的安全性漏洞 通常也会排除掉相对不严重的安全性漏洞 像是不严重的 reflected XSS / self-XSS / information disclosure 等 对於公司来说 一个 Bounty Program 看似花费不赀 (以 PornHub 为例共发出 $184,345) 但对於一个事业稳定的公司而言 严重的安全性漏洞延伸的成本绝对远大於此 聘请一个专业的安全渗透团队 花费的成本也绝对远大於 Bounty Program 的支出 [1]: https://en.wikipedia.org/wiki/Bug_bounty_program [2]: https://en.wikipedia.org/wiki/White_hat_(computer_security) [3]: https://hackerone.com/pornhub --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1507640166.A.277.html ※ 编辑: CMJ0121 (125.227.147.112), 10/11/2017 11:35:24