iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 11
1

許多研究人員挖掘漏洞可能是為了讓網路世界更安全,也可能是要為了證明自己的能力,但其實挖漏洞還有另一種功能,就是可以透過通報產品漏洞給廠商,賺取漏洞挖掘獎金,而這種機制就叫做漏洞賞金 (Bug Bounty)。

不同公司會訂定自己的Bug Bounty機制,其中會描述可以挖漏洞的範圍、接受及不接受的漏洞種類、敘獎標準等,當然也有公司是沒有Bug Bounty機制的。
以Google的Bug Bounty機制(網址:https://www.google.com/about/appsecurity/reward-program/ )來說,他們只接受在「*.google.com」、「*.youtube.com」跟「*.blogger.com」等網域中挖到的漏洞,而只要會影響到使用者資料的機密性及完整性的漏洞都在可接受的範圍內,但同時他們也列出了非常多不接受的漏洞種類,例如他們不接受來自「*.bc.googleusercontent.com」及「*.appspot.com」等網域的漏洞,因為使用那個網域的都是Google Cloud客戶,所以就算有漏洞也是這些客戶開發出來的產品漏洞,而不是Google本身提供的服務有漏洞。因為他們的列表太多這邊就不贅述,有興趣的可以在去細看一下。

說穿了Bug Bounty就是一個你情我願的遊戲機制,如果想從中贏得獎金的話就必須照著遊戲規則來,因此在你開始通報漏洞到Bug Bounty前有幾項要注意的事情:

  1. 照著遊戲規則才有獎金拿,想賺錢的話就只通報廠商允許範圍內產品的漏洞,當然如果找到的漏洞不在允許範圍內,但還是會造成重大資安風險的話,廠商可能還是會考慮發給你獎金,但是如果他以這不在Bug Bounty範圍內就不給以獎金也是很有可能的。
  2. 不要以為通報漏洞給每間廠商都能有錢拿,沒有Bug Bounty機制的廠商不一定歡迎你主動通報漏洞過去,最好的狀況就是雖然廠商沒有Bug Bounty機制但還是主動給你獎金,好一點的會跟你致謝,遭一點的狀況可能會認為你是故意在搞破壞而對你惡言相向或採取法律行動。
  3. 廠商沒有欠你,也沒有逼你一定要幫他挖漏洞,如果遇到了廠商給的獎金給你預期有落差的狀況,雖然很不爽,但也不要因此拿找到的漏洞去做壞事。

簡單來說,就是乖乖照著遊戲規則走。

以上這些是如果你想要從通報漏洞來賺獎金的話可能要注意的事項,但如果你不在意金錢這種俗氣的身外之物,歡迎參考前幾天介紹的方式進行漏洞通報。

以下是一些彙整全球有Bug Bounty機制的廠商清單,有興趣的可以看看:

  1. https://www.bugcrowd.com/bug-bounty-list/
  2. https://hackerone.com/bug-bounty-programs

看到這裡,雖然我自己不是這方面的專家,但建議有興趣加入賞金獵人一族的朋友,可以多看看別人以前挖過的漏洞,因為不同的廠商有可能會存在一樣的漏洞,如此一來就可以舉一反三,利用別人的經驗找到類似的漏洞;此外,同一間廠商也有可能在不同的產品出現一樣的漏洞,或是同一個產品內會有相似的漏洞存在,畢竟有時候廠商就算接獲某一個產品存在漏洞,他也沒辦法針對自己所有的產品進行清查是不是有同樣的漏洞存在。

最後就祝大家在挖漏洞拿獎金的道路上一路順風啦!

參考資料:
[1] https://www.bugcrowd.com/bug-bounty-list/
[2] https://www.google.com/about/appsecurity/reward-program/
[3] https://hackerone.com/bug-bounty-programs


上一篇
[Day 10] 找到漏洞好興奮,我想給他一個名份 [下]
下一篇
[Day 12] 網頁漏洞長的是圓是方?
系列文
資安補漏洞,越補越大洞30

尚未有邦友留言

立即登入留言