提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
目录
前言
上篇文章提及国内SRC导航, 本次新增海外的SRC平台。
1. HackONE
这个估计是大家可能都有听说过,应该算是国外最大的漏洞平台了,上面的注册会员据说是包括了来自170多个国家,数量超过了150万。
特点
-
注册简单,只需要使用邮箱注册就可以了,不需要邀请或其它要求
-
声望系统,声望越高的话可以接一些非公开、报酬高的项目,和国内的平台里面那种非公开项目类似 很卷,上面人太多了,而且听说上面被Indian的师傅们卷飞了
-
大公司很多,包括WordPress、X(Twitter)、Uber、Visa等
快速导航:
注册: Sign in | HackerOne (HackerOnehttps://hackerone.com/users/sign_in)
2.Bugcrowd
也算是一个比较流行的漏洞平台,特点和HackerOne类似。
特点
-
也是直接使用邮箱注册就可以了,不需要邀请
-
创建了自己的漏洞评级分类法(VRT)
-
项目很多,基本上各种类型都有,包括:Web、API、移动应用、云服务、物联网等等
-
也有不少大公司,包括Tesla、Netflix、Indeed、Dropbox
快速导航:www.bugcrowd.comhttps://www.bugcrowd.com/
3.Intigriti
Intigriti是一个欧洲的平台,主要在欧洲比较活跃,但是也接收国际客户。
特点
-
也可以直接使用邮箱注册,但是会限制只能参与部分项目,如果要解除限制,要进行身份验证(ID check),需要使用身份证或护照、驾照这些信息,但是这玩意我验证了好几次都失败了
-
报告被确认后会自动付款,听说很快
-
他家有一个Fastlane Program,可以让研究人员在漏洞未公开之前,对它进行学术研究
快速导航:
Intigriti - Bug Bounty & Agile Pentesting Platform.com
注册: Register - Intigritihttps://login.intigriti.com/account/register
4.Open Bug Bounty
属于公益漏洞平台,一个非盈利平台。
特点
-
只接收特定漏洞,比如XSS或CSRF
-
正常是没有报酬的,但是上面的公司可以自愿给钱
快速导航:Free Bug Bounty Program and Coordinated Vulnerability Disclosure | Open Bug Bounty
注册: Vulnerability Disclosure Program | Open Bug Bountyhttps://www.openbugbounty.org/report/
5.Apple
苹果家的,主要收取的漏洞包括 iCloud、通过物理访问进行的设备攻击(device attacks via physical access,)、通过用户交互进行的网络攻击(network attacks with user interaction)等等。
赏金
-
最低$500:DNS、Domain和子域接管等。
最高$200万:绕过锁定模式的特定保护(bypass the specific protections of Lockdown Mode)。
快速导航:Categories - Apple Security Research
注册: 右上角有个“Submit a Report”
6.Meta
主要是Facebook相关的产品,包括Facebook、Instagram、WhatsApp和VR等等。
赏金
-
最低$500:XS 泄漏或跨站点泄漏 。
-
最高$30万:RCE全面接管。
快速导航:https://www.facebook.com/whitehat
7.Microsoft
接收微软下面的相关产品,包括什么X-box、Office、Edge等等。
赏金
-
没有给出赏金的下限。
-
最高为$25万:针对Hyper-V的RCE、信息泄漏、拒绝服务攻击等。
快速导航:Microsoft Bounty Programs | MSRC
注册:需要微软账号。
8.Google
主要接收的漏洞范围包括:包括谷歌的网络资产、应用、Android系统等。
赏金
-
最低$500:获取Google Play 中的敏感数据。
-
最高$100万:破解Pixel系列手机中的安全芯片Titan M。
快速导航:https://bughunters.google.com/about
注册:需要google账号。
9.Github
主要接收GitHub.com, GitHub API、GitHub Actions相关的漏洞。
赏金
-
最低$617:可能影响用户的应用程序错误。
-
最高$3万+:越权访问内部系统或用户敏感数据。
快速导航:https://bounty.github.com
注册:GitHub | Bug Bounty Program Policy | HackerOnehttps://hackerone.com/github?type=team
总结
整体看下来,其实和国内也类似,各大众测平台上厂商很多,但公益类的会比较好, 有些存在漏洞的公司也不一定会出现在各大赏金平台。
另外, 赏金平台会有很多不同类型的项目(hackone、bugcrowd都会有),金额很丰盛,但是进入的门槛有要求。 但,各大互联网公司自家的平台,给钱都很大方,可以看到基本上最低都是500刀起步。
原文参考:微信公众号 安全猿