认识现代软件测试人员：概述了漏洞猎手

道德黑客攻击曾经是安全研究人员的追求，他们想要在下一次会议上发表演讲，或者是独狼，他们喜欢追逐的快感（而不是监狱的威胁）。

如今，道德漏洞已经以发现错误的形式成为了大生意。 现在，越来越多的公司（例如Microsoft和Google），行业巨头（例如GM和Uber）以及美国政府机构（例如，陆军和空军）都在开展漏洞奖励计划和竞赛。

[了解如何启动自己的错误赏金计划 。 | InfoWorld的要点： CI / CD入门：使用CI / CD管道自动执行应用程序交付 。 • CI / CD的5个常见陷阱以及如何避免它们 。 | 通过InfoWorld的App Dev Report新闻通讯了解编程方面的热门话题。 ]

IDG连接

诸如Bugcrowd和HackerOne之类的启动漏洞赏金计划的初创公司声称，他们之间的平台上有成千上万的道德黑客，他们都准备帮助检查组织的安全状况，并为此付出一两美元的代价。

那么，这些道德黑客是谁？

HackerOne和Bugcrowd都发布了人口统计报告，概述了他们的黑客是谁。 Bugcrowd在其平台HackerOne上声称有80,000名研究人员，刚超过160,000。

Bugcrowd的CSO David Baker说：“一般来说，我们社区的成员是17至25岁的年轻男性。” “他们中的许多人都具有大学学历并在安全行业工作。 游戏的背景是巨大的吸引力，因为一旦人们意识到这种游戏模型参与到可以入侵公司并获得报酬的地方，这对他们来说就是乐趣。”

“他们中的许多人都把这作为业余时间来增加现金，或者以此为背景来学习更多知识，应对挑战并提高技能。 唯一的例外-而且是越来越多的例外-来自购买力较低的国家的参与者。 研究人员的购买力平价率越低，他们全职投入的可能性就越小。 还有一小群我们称为超级猎人，他们的年收入在25万美元或以上。 这些人大概有20到25。”

BugCrowd

按地区划分的道德黑客的平均提交优先级。 规模：1 =最关键，5 =最不重要。

虽然发起漏洞赏金计划的公司主要分布在美国和欧洲，并且在亚太地区的使用率也在不断增长，而且黑客本身的地理分布也相似。美国，印度和英国是Bugcrowd的最大地区，而美国，印度和俄罗斯则代表HackerOne最大的社区。

两个平台上的大多数黑客都是年轻的：Bugcrowd上的Bug猎人中有71％的年龄在18至29岁之间，而HackerOne上的Bug赏金黑客中有90％以上的年龄在35岁以下（45％的年龄在18- 24岁和37％的年龄在25-34岁之间），并且大多数人都在最近几年开始黑客入侵。 超过一半的人在某种程度上学习了计算机科学。

认识黑客：马特·莱顿

角色： Audible的安全工程师，作为辅助项目的bug赏金大约有18个月。

学历：阿德菲大学计算机科学学位。

最高支出 ：$ 2,000“这是非常幸运的发现。”

是什么使漏洞赏金吸引人的原因： “狩猎错误可以是一种独特的学习体验，并提供机会在现实世界中考察不同的技术和基础架构。 很难找到真正的，真实的学习环境。 当然，钱总是很棒的，但是狩猎的快感更好。 经过数小时的工作后，没有什么比发现错误更像了。 这是您学习和不断进步的信心增强和验证。”

关于错误赏金计划的看法不断变化： “我认为越来越多的公司开始看到错误赏金计划可以提供什么样的价值。 我可以想象，有成群的黑客搜寻贵公司的应用程序和服务是非常令人生畏的。 但是，看到一些信誉卓著的公司获得了如此多的成功案例，就很难错过它的价值。”

您是否将问题提交给没有漏洞披露政策的公司？ “如果没有披露程序，我很担心将问题提交给公司。 过去，我们都听到过这样的故事：公司对于从安全研究人员那里获取漏洞报告不太满意。”

HackerOne的受众中有近一半从事与技术相关的工作（涉及IT，软件或硬件），目前有四分之一正在接受研究，约有12％的人将自己归类为顾问。 Bugcrowd的受众主要由渗透测试人员（22％），顾问（18％）和学生（15％）组成。

两种平台上的黑客都有各自的工作理由：学习/专业发展，挑战和金钱被列为两种平台上黑客活动的三大驱动因素，而金钱则位居第三。

道德黑客会从漏洞赏金中赚取多少？

黑客可以赚多少钱显然取决于多种因素。

根据HackerOne的年度报告，印度的黑客平均收入可以是该国软件工程师的中位数的16倍，而世界其他地区的收入可以是其本国软件工程师的中位数的2.5倍以上。

在全球范围内，该平台上有37％的黑客在业余时间里业余爱好，大约四分之一的人依靠赏金来获得至少50％的年收入，还有14％的人说赏金占他们年收入的90％至100％。大约12％的人每年从错误赏金中获得20,000美元或更多的收入。 大约3％的人每年收入超过100,000美元，其中1％的人每年收入超过350,000美元。

认识黑客：Tommy'dawgyg'DeVoss

角色：过去12个月的全职黑客。

教育程度：攻读网络安全学位，自1990年代中期以来一直从事黑客活动。

最高支出 ：能够使加密货币花费一倍的支出为$ 10,000，针对特权升级漏洞的支出为$ 10,000，针对SQL注入和文件系统访问的支出为$ 10,000。

虫子赏金吸引人的原因是： “金钱是最吸引人的部分，但是诸如不断学习新事物之类的其他事情，以及社区成员也使之非常吸引人。这感觉就像我们都是朋友，而不是基本上是竞争对手寻找错误。”

关于对漏洞赏金计划的看法不断变化： “现在，公司比两年前有了更多的了解。 他们似乎看到了有漏洞赏金计划为其整体安全带来的价值，并且程序在与社区进行交互方面已经变得更好。”

您是否将问题提交给没有漏洞披露政策的公司？ “未经他们的允许，我不会冒险测试一个网站，因为与CFAA混淆并不值得通过测试随机网站而可能带来的麻烦或悬赏。”

但是大多数人的收入少于这个。 创始人Michiel Prinssay说，HackerOne建议的最低奖励是100美元，这是他所说的“低挂的水果漏洞”。 黑客平均获得的报酬约为500美元。 然后我们有黑客为一个漏洞赚取高达30,000美元的收入。 对于普通的黑客来说，这更多是一笔额外的收入，然后我们有一些摇滚明星每年赚近30万美元，对于其中一些摇滚明星来说，这仍然是他们的附带收入！”

那花钱呢？ 根据Bugcrowd的说法，大部分奖励都花在了对工具和开发的再投资上，而生活支出和“有趣的东西”则代表了另外两种主要的支出方式。

不道德黑客的诱惑

尽管有道德的黑客可以赚很多钱，但不道德的黑客仍然可以赚钱。 Vice去年曾报道说，发现iPhone中的高级漏洞的黑客在暗网上出售这些漏洞所赚取的收入几乎是向苹果实际报告这些漏洞的十倍。

这个故事“满足现代软件测试人员：概述了漏洞猎手”最初由IDG Connect发布 。

From: https://www.infoworld.com/article/3277961/meet-the-modern-software-tester-bug-hunters-profiled.html