如題目
個人不太懂資安相關的議題,只知道有很多白帽駭客會幫忙抓漏洞。
想問一下上去回報漏洞的資安高手們,是純粹熱心嗎?
還是有獎金呀!?
有人有相關經驗可以分享嗎,感覺很像偵探遊戲很刺激、很需要思考呢!
已邀請的邦友 {{ invite_list.length }}/5
這裡有 600+ 篇, 別人拿到漏洞獎金的過程:
A curated list of bugbounty writeups
漏洞賞金是由各軟體原創作廠商設立的, 你要去各大廠商的 Bounty Program 找.
這裡有一份公開的漏洞賞金列表:
https://www.bugcrowd.com/bug-bounty-list/
化被動為主動,企業開始懸賞抓漏
如果只想看知名度比較高的公司:
TOP Bug Bounty Programs & Websites List (Jan 2023 Update)
26 Best Paying Bug Bounty Programs in the World
漏洞賞金計畫也可能是非公開的: 廠商只邀請它們信任的高手來參加.
像 Synology 就先從邀請制開始, 慢慢才公開給不特定對象申請:
【Bug Bounty概念席捲全球,臺灣也有企業實際應用】群暉跟上全球腳步,推出安全性弱點獎金計畫
但是抓特定廠商漏洞, 通常需要機運, 有的人持續好幾年研究也沒有成果, 或者是成果發表太慢, 被人家先拿走獎金. 若單純只是對漏洞攻防有興趣的話, 可以先看一下 CTF 比賽, 他的舉辦頻率比較高, 拿獎金的機會也比較大:
一次看懂CTF資安攻防賽
覺得 CTF 像小孩遊戲太簡單的話, 世界級的 Pwn2Own 也可以看看:
二度摘冠! DEVCORE 於 Pwn2Own 駭客競賽摘台灣史上第二座冠軍
如果不介意獎金, 單純只是想當志願白帽駭客的話, HITCON 也可以參考看看:
https://zeroday.hitcon.org/vulnerability
HITCON ZeroDay最新臺灣漏洞通報趨勢大公開,並宣布推出漏洞獎勵計畫
企業弱密碼今年狂被駭!HITCON資安漏洞申報平台連台電、群暉都拜託「抓漏」
iThome鐵人賽
看影片追技術