2017.W41 - Bounty Program (赏金计画)
> Bounty 跟新创一样 第一份报告很重要
## 前言 ##
处理公司的 Bounty Program 活动都会遇到蛮极端的几种状况
1- 写得很专业 几乎可以马上判断是否是安全问题
2- 写得很烂 光来回询问细节就需要 2 ~ 4 次来回信件
3- 乱枪打鸟 问一下细节就无声卡
## 内容 ##
Bounty Program[1] 是一种变相委外的资安审计活动
借由这个活动让白帽[2]借由提报安全性漏洞来名、利双收
公司也可以借由这个活动 收到且及早修复尚未爆发的安全性疑虑
目前有很多公开的 Bounty Program 平台让各公司可以发布 Bounty Program
内容包含列举受理的 Bounty 范围以及相对应的奖金
以知名网站 PornHub 在 HackerOne 平台中[3] 为例
他明确列举了五个受理 (In-Scope) 的网域 以及明确排除的次级网域 (Sub-Domain)
并针对各种类型的安全性漏洞 标注从 $50 ~ $15000 不等的价格
举例来说:
针对核心网站发现 RCE (Remote Code Execute) 就可以获得 $15000 的奖励与声望
每个 Bounty Program 活动中 都会有明确排除条款 (Exception / Rules)
这是为了避免安全研究员在挖掘漏洞的时候 影响到公司的正常服务
像是
+ DoS (Denial-of-Service)
+ Compromise user data and/or account
+ Prematurely announce the details
并为了让研究人员专注在公司预期的安全性漏洞 通常也会排除掉相对不严重的安全性漏洞
像是不严重的 reflected XSS / self-XSS / information disclosure 等
对于公司来说 一个 Bounty Program 看似花费不赀 (以 PornHub 为例共发出 $184,345)
但对于一个事业稳定的公司而言 严重的安全性漏洞延伸的成本绝对远大于此
聘请一个专业的安全渗透团队 花费的成本也绝对远大于 Bounty Program 的支出
[1]: https://en.wikipedia.org/wiki/Bug_bounty_program
[2]: https://en.wikipedia.org/wiki/White_hat_(computer_security)
[3]: https://hackerone.com/pornhub