漏洞懸賞計劃仍然是2024年網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分，為組織提供了從各種網(wǎng)絡(luò)安全專業(yè)人員和研究人員那里獲得幫助的能力。Bugcrowd、HackerOne、Synack、YesWeHack和integriti等領(lǐng)先的漏洞獎勵平臺將道德黑客與組織聯(lián)系起來，為漏洞披露和解決方案提供結(jié)構(gòu)化框架，并為成功識別和報告安全漏洞的行為提供獎勵。技術(shù)提供商和政府組織也會運(yùn)行獨(dú)立的漏洞懸賞計劃，作為更廣泛的安全測試策略的一部分。

以下是2024年最受矚目的11個頂級漏洞懸賞項目：

Alphabet提高懸賞金額

今年7月，Alphabet意識到隨著其系統(tǒng)變得越來越成熟，發(fā)現(xiàn)漏洞變得越來越困難，并通過漏洞懸賞計劃將提供的獎勵提升至最高151515美元。支付金額將反映報告的質(zhì)量，特別高質(zhì)量的報告將在基準(zhǔn)支付的基礎(chǔ)上增加50%的獎金。相反地，質(zhì)量差但有效的漏洞披露只會獲得應(yīng)得獎勵的一半。

例如，一個導(dǎo)致Gmail帳戶被接管的邏輯缺陷將獲得5萬美元乘以1.5倍的潛在質(zhì)量乘數(shù)，最高可獲得7.5萬美元。而在今年獎金增加之前，同樣的漏洞只能賺到13337美元。

Google的Web服務(wù)、Chrome瀏覽器、Android和谷歌設(shè)備等產(chǎn)品都涵蓋在其漏洞獎勵計劃（VRP）中。

微軟修改了長期運(yùn)行的漏洞披露計劃

微軟也不甘示弱，在過去一年里大幅增加了漏洞賞金。從2020年到2023年，微軟每年通過漏洞懸賞計劃支付了大約1300萬美元。然而，在2024年，這一數(shù)額增加到了1660萬美元。來自55個國家的343名安全研究人員獲得了獎金。包括Azure、Microsoft Identity、Edge、Windows和Office 365在內(nèi)的云服務(wù)都涵蓋在該計劃范圍內(nèi)。

微軟在一篇回顧其漏洞賞金計劃的博文中表示：“隨著安全形勢和微軟攻擊面的演變，微軟賞金計劃也在不斷發(fā)展。無論是擴(kuò)大范圍以涵蓋新的微軟產(chǎn)品和服務(wù)，還是調(diào)整研究目標(biāo)以防止惡意行為者和新型攻擊媒介，微軟賞金計劃都在不斷改進(jìn)和完善。”

今年4月，微軟還專門針對人工智能推出了一項新的漏洞賞金計劃，為涉及其Copilot人工智能技術(shù)的漏洞報告提供高達(dá)1.5萬美元的獎金。

英國軍隊武裝自己以抵御安全威脅

今年2月，英國國防部（MOD）宣布將與HackerOne合作擴(kuò)大防御安全計劃。

這個為期三年的項目最初的范圍包括漏洞披露和漏洞懸賞計劃。國防部現(xiàn)在已經(jīng)擴(kuò)大了漏洞披露計劃（VDP）的范圍，將多個主要供應(yīng)商納入其中，作為更廣泛計劃的一部分，以改善供應(yīng)鏈安全，并最終推動他們引入自己的漏洞披露計劃。

云軟件即服務(wù)協(xié)作平臺提供商Kahootz是國防部供應(yīng)商VDP計劃的首批采用者。

英國的計劃至少在一定程度上受到了美國“黑進(jìn)五角大樓”（Hack the Pentagon）計劃的啟發(fā)。

關(guān)鍵的Backpack漏洞獎金高達(dá)10萬美元

那些希望獲得更多經(jīng)濟(jì)回報的道德黑客可以挖挖Backpack的漏洞，它是一家專注于非托管錢包和瀏覽器擴(kuò)展的交易所。今年7月份，Backpack與Immunefi平臺合作推出了漏洞懸賞項目，對確認(rèn)為Backpack網(wǎng)絡(luò)或API中的漏洞提供高達(dá)10萬美元的獎勵。

人工智能初創(chuàng)公司Anthropic推出漏洞報告計劃

今年8月，人工智能初創(chuàng)公司Anthropic與由HackerOne合作推出了一項漏洞披露計劃（VDP）為可能暴露CBRN（化學(xué)、生物、放射性和核）和網(wǎng)絡(luò)安全等關(guān)鍵高風(fēng)險領(lǐng)域的新穎漏洞、通用越獄攻擊提供高達(dá)1.5萬美元的獎勵。

人工智能中的越獄攻擊涉及一種繞過人工智能系統(tǒng)內(nèi)置安全措施和道德準(zhǔn)則的方法，允許用戶從人工智能系統(tǒng)中引出通常會被阻止的反應(yīng)或行為。

Anthropic在一篇關(guān)于改進(jìn)計劃的博客文章中表示：“在我們致力于開發(fā)下一代人工智能保護(hù)系統(tǒng)的同時，我們正在擴(kuò)大我們的漏洞懸賞計劃，引入一項新的舉措，重點是發(fā)現(xiàn)我們用來防止模型被濫用的緩解措施中的缺陷。”

該漏洞披露計劃（VDP）提供了一個結(jié)構(gòu)化的系統(tǒng)，使安全研究人員可以更輕松地報告漏洞。隨著時間的推移，許多組織已經(jīng)從VDP過渡到成熟的漏洞懸賞計劃。

Anthropic的VDP涵蓋其面向公眾的網(wǎng)站和其他數(shù)字資產(chǎn)，包括Claude iOS應(yīng)用程序、Claude.ai域、內(nèi)部應(yīng)用程序和服務(wù)、API和軟件開發(fā)工具包。

法國政府機(jī)構(gòu)提供高達(dá)5000歐元的獎金

負(fù)責(zé)法國國家數(shù)字化轉(zhuǎn)型的機(jī)構(gòu)DINUM正在通過YesWeHack提供一項漏洞懸賞計劃。

該計劃于2月份啟動，主要針對DINUM的Web應(yīng)用程序和API。該計劃歡迎上報經(jīng)典的web應(yīng)用程序安全漏洞，包括SQL注入、跨站點腳本、跨站點請求偽造和遠(yuǎn)程代碼執(zhí)行等。

如果針對范圍內(nèi)的資產(chǎn)進(jìn)行攻擊能夠暴露有效憑據(jù)將獲得高達(dá)5000歐元的獎勵。有關(guān)敏感信息泄露的報告不在該計劃的范圍之內(nèi)。

Netflix接收漏洞懸賞報告

Netflix的漏洞懸賞計劃旨在通過眾包黑客社區(qū)的安全漏洞報告來提高其產(chǎn)品和服務(wù)的安全性。該項目于2018年公開，最初由Bugcrowd托管，之后轉(zhuǎn)移到HackerOne。

該計劃的最新版本于今年5月推出，為發(fā)現(xiàn)最嚴(yán)重漏洞的安全研究人員提供最高2.5萬美元的獎勵。高嚴(yán)重性目標(biāo)包括破壞內(nèi)容授權(quán)或獲取私鑰的方法。Netflix的iOS和Android移動應(yīng)用程序也在考慮范圍之內(nèi)。

Airbnb改進(jìn)漏洞懸賞計劃

今年5月，Airbnb通過HackerOne推出了一項改進(jìn)后的漏洞懸賞計劃。發(fā)現(xiàn)Airbnb網(wǎng)站或移動應(yīng)用程序漏洞的道德黑客可獲得高達(dá)2.5萬美元的獎金。

該計劃涵蓋在線寄宿家庭市場的各種web應(yīng)用程序安全漏洞。

自2015年首次推出該計劃以來，Airbnb已經(jīng)通過該計劃支付了總計240萬美元的獎金。漏洞披露程序迄今已解決了1394份報告。平均賞金從500美元到750美元不等。

英國數(shù)字銀行Monzo寄希望于漏洞懸賞計劃

今年7月，英國數(shù)字銀行Monzo通過integriti推出了一項公共漏洞懸賞計劃。該計劃為經(jīng)過驗證的關(guān)鍵漏洞發(fā)現(xiàn)提供高達(dá)1.25萬歐元的獎勵。

該計劃涵蓋銀行網(wǎng)站、API、內(nèi)部工具和移動應(yīng)用程序中的安全漏洞。

Grafana尋求黑客幫助根除源代碼缺陷

Grafana是一個用于監(jiān)控和可觀察性的開源平臺，它也通過Integriti推出了一項漏洞懸賞計劃。通過5月份啟動的該計劃，報告關(guān)鍵漏洞和經(jīng)過驗證的漏洞可以獲得高達(dá)1.5萬歐元的獎金。

該項目旨在激勵道德黑客發(fā)現(xiàn)Grafana軟件中的漏洞。Grafana實驗室開發(fā)的未默認(rèn)安裝的插件漏洞也接受提交，但沒有資格獲得賞金。

Bluefin漏洞賞金高達(dá)五千美元

今年7月，Bluefin與Web3的漏洞賞金和安全服務(wù)平臺Immunefi合作推出了一項漏洞懸賞計劃。

該計劃提供高達(dá)5000美元的獎勵，其中trade.bluefin.io網(wǎng)站和相關(guān)資產(chǎn)是重中之重。

范圍涵蓋各種網(wǎng)絡(luò)安全漏洞，包括SQL注入、跨站請求偽造以及導(dǎo)致敏感信息泄露的錯誤。此外，業(yè)務(wù)邏輯問題和支付操縱問題也有資格獲得潛在獎勵。

原文鏈接：https://www.csoonline.com/article/657751/top-bug-bounty-programs.html