最近有一个群友在挖海外的漏洞平台,赚的都是美刀,可把我羡慕坏了。但是和别人也不是很熟悉,不好打探别人的赚钱秘诀,只能自己去查资料了,下面总结一下我找到了一些漏洞赏金平台,以及它们各自的一些特点。
众测平台
HackerOne
这个估计是大家可能都有听说过,应该算是国外最大的漏洞平台了,上面的注册会员据说是包括了来自170多个国家,数量超过了150万。
特点
-
• 注册简单,只需要使用邮箱注册就可以了,不需要邀请或其它要求
-
• 声望系统,声望越高的话可以接一些非公开、报酬高的项目,和国内的平台里面那种非公开项目类似 很卷,上面人太多了,而且听说上面被Indian的师傅们卷飞了
-
• 大公司很多,包括WordPress、X(Twitter)、Uber、Visa等
Bugcrowd
也算是一个比较流行的漏洞平台,特点和HackerOne类似。
特点
-
• 也是直接使用邮箱注册就可以了,不需要邀请
-
• 创建了自己的漏洞评级分类法(VRT)
-
• 项目很多,基本上各种类型都有,包括:Web、API、移动应用、云服务、物联网等等
-
• 也有不少大公司,包括Tesla、Netflix、Indeed、Dropbox等
https://www.bugcrowd.com
Intigriti
Intigriti是一个欧洲的平台,主要在欧洲比较活跃,但是也接收国际客户。
特点
-
• 也可以直接使用邮箱注册,但是会限制只能参与部分项目,如果要解除限制,要进行身份验证(ID check),需要使用身份证或护照、驾照这些信息,但是这玩意我验证了好几次都失败了
-
• 报告被确认后会自动付款,听说很快
-
• 他家有一个Fastlane Program,可以让研究人员在漏洞未公开之前,对它进行学术研究
https://www.intigriti.com
Open Bug Bounty
属于公益漏洞平台,一个非盈利平台。
特点
-
• 只接收特定漏洞,比如XSS或CSRF
-
• 正常是没有报酬的,但是上面的公司可以自愿给钱
https://www.openbugbounty.org
厂家漏洞平台
Apple
苹果家的,主要收取的漏洞包括 iCloud、通过物理访问进行的设备攻击(device attacks via physical access,)、通过用户交互进行的网络攻击(network attacks with user interaction)等等
赏金
最低**$500**:DNS、Domain和子域接管等。
最高**$200万**:绕过锁定模式的特定保护(bypass the specific protections of Lockdown Mode)。
https://security.apple.com/bounty/categories
Meta
主要是Facebook相关的产品,包括Facebook、Instagram、WhatsApp和VR等等。
赏金
最低**$500**:XS 泄漏或跨站点泄漏 。
最高**$30万**:RCE全面接管。
https://www.facebook.com/whitehat
Microsoft
接收微软下面的相关产品,包括什么X-box、Office、Edge等等。
赏金
没有给出赏金的下限。
最高为**$25万**:针对Hyper-V的RCE、信息泄漏、拒绝服务攻击等。
https://www.microsoft.com/en-us/msrc/bounty
主要接收的漏洞范围包括:包括谷歌的网络资产、应用、Android系统等。
赏金
最低**$500**:获取Google Play 中的敏感数据。
最高**$100万**:破解Pixel系列手机中的安全芯片Titan M。
https://bughunters.google.com/about
Github
主要接收GitHub.com, GitHub API、GitHub Actions相关的漏洞。
赏金
最低**$617**:可能影响用户的应用程序错误。
最高**$3万**+:越权访问内部系统或用户敏感数据。
https://bounty.github.com
其它还有一些厂家的漏洞平台就不再一一细数了,大家可以自行搜索。
总结
整体看下来,其实和国内也类似,各大众测平台上厂商很多,但是也非常卷,每个项目都被人反复的挖过很多遍了。然后各大互联网公司自家的平台,给钱都很大方,可以看到基本上最低都是500刀起步,但是我猜对新手应该不太友好,需要一定的经验。
这次主要是收集了一波资料,后面有空的时候会去尝试挖几个海外平台试试看,给大家分享一下相关的经验。
END
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
黑客&网络安全如何学习?
今天只要你给我的文章点赞,我自己多年整理的282G 网安学习资料免费共享给你们,网络安全学习传送门,可点击直达获取哦!
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了282G视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
更多内容为防止和谐,可以扫描获取哦~
本文转自 https://blog.csdn.net/Javachichi/article/details/140917394?spm=1001.2014.3001.5502,如有侵权,请联系删除。
3953
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
