※ 引述《del680202 (HANA)》之铭言:
: 昨天公司网站发现有人利用漏洞做了一些事
: 虽然后来立即修补了
: 结果今天收到一封信
: 大意大概是
: 我昨天骇了你们网站 要不要聘用我
: 还demo他怎么骇的
: ...
: 虽说这漏洞之前已经被扫描出来 前端没来的急补
: 对方趁著这空档骇成功
: 不过这种应聘方式还真的蛮屌的
现在稍具规模的软件公司都会有Bug Bounty Program
像是Google/Facebook有专门的部门处理
比较小的公司则会利用Hackerone这个平台
https://hackerone.com/directory/programs
大概就是定义一下希望资安人员帮忙抓漏洞的网域/app
根据危险程度发放不同金额的回报
如果不是很严重的漏洞应该给他几百美金他就满意了