2017.W41 - Bounty Program (賞金計畫) > Bounty 跟新創一樣 第一份報告很重要 ## 前言 ## 處理公司的 Bounty Program 活動都會遇到蠻極端的幾種狀況 1- 寫得很專業 幾乎可以馬上判斷是否是安全問題 2- 寫得很爛 光來回詢問細節就需要 2 ~ 4 次來回信件 3- 亂槍打鳥 問一下細節就無聲卡 ## 內容 ## Bounty Program[1] 是一種變相委外的資安審計活動 藉由這個活動讓白帽[2]藉由提報安全性漏洞來名、利雙收 公司也可以藉由這個活動 收到且及早修復尚未爆發的安全性疑慮 目前有很多公開的 Bounty Program 平台讓各公司可以發布 Bounty Program 內容包含列舉受理的 Bounty 範圍以及相對應的獎金 以知名網站 PornHub 在 HackerOne 平台中[3] 為例 他明確列舉了五個受理 (In-Scope) 的網域 以及明確排除的次級網域 (Sub-Domain) 並針對各種類型的安全性漏洞 標註從 $50 ~ $15000 不等的價格 舉例來說： 針對核心網站發現 RCE (Remote Code Execute) 就可以獲得 $15000 的獎勵與聲望 每個 Bounty Program 活動中 都會有明確排除條款 (Exception / Rules) 這是為了避免安全研究員在挖掘漏洞的時候 影響到公司的正常服務 像是 + DoS (Denial-of-Service) + Compromise user data and/or account + Prematurely announce the details 並為了讓研究人員專注在公司預期的安全性漏洞 通常也會排除掉相對不嚴重的安全性漏洞 像是不嚴重的 reflected XSS / self-XSS / information disclosure 等 對於公司來說 一個 Bounty Program 看似花費不貲 (以 PornHub 為例共發出 $184,345) 但對於一個事業穩定的公司而言 嚴重的安全性漏洞延伸的成本絕對遠大於此 聘請一個專業的安全滲透團隊 花費的成本也絕對遠大於 Bounty Program 的支出 [1]: https://en.wikipedia.org/wiki/Bug_bounty_program [2]: https://en.wikipedia.org/wiki/White_hat_(computer_security) [3]: https://hackerone.com/pornhub -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1507640166.A.277.html ※ 編輯: CMJ0121 (125.227.147.112), 10/11/2017 11:35:24