国外SRC导航（海外众测平台）

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

目录

前言

众测平台

1. Hackone

2. Bugcrowd

3. Intigriti

4. Open Bug Bounty

厂商平台

5. Apple

6. Meta

7.  Microsoft

8. Google

9. Github

总结

---

前言

上篇文章提及国内SRC导航， 本次新增海外的SRC平台。

企业SRC导航汇总-CSDN博客

---

1. HackONE

这个估计是大家可能都有听说过，应该算是国外最大的漏洞平台了，上面的注册会员据说是包括了来自170多个国家，数量超过了150万。

特点

• 注册简单，只需要使用邮箱注册就可以了，不需要邀请或其它要求

• 声望系统，声望越高的话可以接一些非公开、报酬高的项目，和国内的平台里面那种非公开项目类似 很卷，上面人太多了，而且听说上面被Indian的师傅们卷飞了

• 大公司很多，包括WordPress、X(Twitter)、Uber、Visa等

快速导航：
 

https://hackerone.com/

注册： Sign in | HackerOne （HackerOnehttps://hackerone.com/users/sign_in）

2.Bugcrowd

也算是一个比较流行的漏洞平台，特点和HackerOne类似。

特点

• 也是直接使用邮箱注册就可以了，不需要邀请

•  创建了自己的漏洞评级分类法（VRT）

• 项目很多，基本上各种类型都有，包括：Web、API、移动应用、云服务、物联网等等

• 也有不少大公司，包括Tesla、Netflix、Indeed、Dropbox

快速导航：www.bugcrowd.comhttps://www.bugcrowd.com/

 3.Intigriti

Intigriti是一个欧洲的平台，主要在欧洲比较活跃，但是也接收国际客户。

特点

• 也可以直接使用邮箱注册，但是会限制只能参与部分项目，如果要解除限制，要进行身份验证（ID check），需要使用身份证或护照、驾照这些信息，但是这玩意我验证了好几次都失败了

• 报告被确认后会自动付款，听说很快

• 他家有一个Fastlane Program，可以让研究人员在漏洞未公开之前，对它进行学术研究

快速导航：

Intigriti - Bug Bounty & Agile Pentesting Platform.com

注册： Register - Intigritihttps://login.intigriti.com/account/register

4.Open Bug Bounty

属于公益漏洞平台，一个非盈利平台。

特点

• 只接收特定漏洞，比如XSS或CSRF

• 正常是没有报酬的，但是上面的公司可以自愿给钱

快速导航：Free Bug Bounty Program and Coordinated Vulnerability Disclosure | Open Bug Bounty

注册： ​​​​​​​Vulnerability Disclosure Program | Open Bug Bountyhttps://www.openbugbounty.org/report/

 5.Apple

苹果家的，主要收取的漏洞包括 iCloud、通过物理访问进行的设备攻击（device attacks via physical access,）、通过用户交互进行的网络攻击（network attacks with user interaction）等等。

赏金

• 最低$500：DNS、Domain和子域接管等。
  最高$200万：绕过锁定模式的特定保护（bypass the specific protections of Lockdown Mode）。

快速导航：​​​​​​​​​​​​​​Categories - Apple Security Research

注册： ​​​​​​​右上角有个“Submit a Report”

 6.Meta

主要是Facebook相关的产品，包括Facebook、Instagram、WhatsApp和VR等等。

赏金

• 最低$500：XS 泄漏或跨站点泄漏 。

• 最高$30万：RCE全面接管。

快速导航：​​​​​​​https://www.facebook.com/whitehat

 7.Microsoft

接收微软下面的相关产品，包括什么X-box、Office、Edge等等。

赏金

• 没有给出赏金的下限。

• 最高为$25万：针对Hyper-V的RCE、信息泄漏、拒绝服务攻击等。

快速导航：Microsoft Bounty Programs | MSRC

注册：需要微软账号。

 8.Google

主要接收的漏洞范围包括：包括谷歌的网络资产、应用、Android系统等。

赏金

• 最低$500：获取Google Play 中的敏感数据。

• 最高$100万：破解Pixel系列手机中的安全芯片Titan M。

快速导航：​​​​​​​https://bughunters.google.com/about

注册：需要google账号。

  9.Github

主要接收GitHub.com, GitHub API、GitHub Actions相关的漏洞。

赏金

• 最低$617：可能影响用户的应用程序错误。

• 最高$3万+：越权访问内部系统或用户敏感数据。

快速导航：https://bounty.github.com

注册：GitHub | Bug Bounty Program Policy | HackerOnehttps://hackerone.com/github?type=team

---

总结

整体看下来，其实和国内也类似，各大众测平台上厂商很多，但公益类的会比较好， 有些存在漏洞的公司也不一定会出现在各大赏金平台。

另外， 赏金平台会有很多不同类型的项目（hackone、bugcrowd都会有），金额很丰盛，但是进入的门槛有要求。  但，各大互联网公司自家的平台，给钱都很大方，可以看到基本上最低都是500刀起步。

原文参考：微信公众号 安全猿