許多研究人員挖掘漏洞可能是為了讓網路世界更安全,也可能是要為了證明自己的能力,但其實挖漏洞還有另一種功能,就是可以透過通報產品漏洞給廠商,賺取漏洞挖掘獎金,而這種機制就叫做漏洞賞金 (Bug Bounty)。
不同公司會訂定自己的Bug Bounty機制,其中會描述可以挖漏洞的範圍、接受及不接受的漏洞種類、敘獎標準等,當然也有公司是沒有Bug Bounty機制的。
以Google的Bug Bounty機制(網址:https://www.google.com/about/appsecurity/reward-program/ )來說,他們只接受在「*.google.com」、「*.youtube.com」跟「*.blogger.com」等網域中挖到的漏洞,而只要會影響到使用者資料的機密性及完整性的漏洞都在可接受的範圍內,但同時他們也列出了非常多不接受的漏洞種類,例如他們不接受來自「*.bc.googleusercontent.com」及「*.appspot.com」等網域的漏洞,因為使用那個網域的都是Google Cloud客戶,所以就算有漏洞也是這些客戶開發出來的產品漏洞,而不是Google本身提供的服務有漏洞。因為他們的列表太多這邊就不贅述,有興趣的可以在去細看一下。
說穿了Bug Bounty就是一個你情我願的遊戲機制,如果想從中贏得獎金的話就必須照著遊戲規則來,因此在你開始通報漏洞到Bug Bounty前有幾項要注意的事情:
簡單來說,就是乖乖照著遊戲規則走。
以上這些是如果你想要從通報漏洞來賺獎金的話可能要注意的事項,但如果你不在意金錢這種俗氣的身外之物,歡迎參考前幾天介紹的方式進行漏洞通報。
以下是一些彙整全球有Bug Bounty機制的廠商清單,有興趣的可以看看:
看到這裡,雖然我自己不是這方面的專家,但建議有興趣加入賞金獵人一族的朋友,可以多看看別人以前挖過的漏洞,因為不同的廠商有可能會存在一樣的漏洞,如此一來就可以舉一反三,利用別人的經驗找到類似的漏洞;此外,同一間廠商也有可能在不同的產品出現一樣的漏洞,或是同一個產品內會有相似的漏洞存在,畢竟有時候廠商就算接獲某一個產品存在漏洞,他也沒辦法針對自己所有的產品進行清查是不是有同樣的漏洞存在。
最後就祝大家在挖漏洞拿獎金的道路上一路順風啦!
參考資料:
[1] https://www.bugcrowd.com/bug-bounty-list/
[2] https://www.google.com/about/appsecurity/reward-program/
[3] https://hackerone.com/bug-bounty-programs