挖洞致富：全球9大頂級漏洞懸賞項目

漏洞懸賞計劃：另類的網路安全防護

互聯網充斥著漏洞，這是不足為奇的事。從程序員開始寫代碼起，他們就必定會犯錯。而只要他們犯錯，犯罪分子、政府、黑客分子就都能對這些漏洞無所不用其極。

包括谷歌、Facebook、Dropbox、PayPal、微軟、雅虎，甚至電動車製造商特斯拉等科技公司如今都有一種懸賞機制，只要黑客發現他們產品存在的漏洞並報告給他們，這些公司就會向這些黑客提供獎金。

這是科技行業對黑客發現漏洞的標準回應方式發生的重大轉變。

其實所謂「漏洞懸賞」（也稱為漏洞獎勵）機制，就是把全世界的的白帽黑客、安全研究人員和安全愛好者聚合在一起，共同為企業產品或服務挖掘漏洞。

但是，需要指出的是，漏洞懸賞項目並不是只有上述科技巨頭才有的，世界上總是存在對立的兩面。

類似像HackerOne和BugCrowd這樣的創業團隊，他們就聯手組建了一個巨大的黑客網路，設置專門賞金來擴大網路「捉蟲」活動。他們還說服眾多科技公司接受黑客攻擊，以測試產品漏洞，從而獲取賞金。

他們的創想很簡單：科技巨頭永遠不可能憑一己之力去發現所有漏洞，他們必須投資研究人員去尋找漏洞。

漏洞眾測平台BugCrowd運營副總裁David Baker表示，「隨著企業逐漸意識到漏洞懸賞計劃對其安全性的重要意義，我們發現這種機制的使用率正在持續增長。而同時，隨著這種機制越來越受歡迎，更多的傳統企業也會參與其中，期待通過這種機制打擊日益增多、變化的攻擊趨勢。」

下面就為大家介紹一些全球頂級的漏洞懸賞計劃（排名不分先後）：

全球9大頂級漏洞懸賞計劃

1. Microsoft Windows漏洞懸賞計劃

微軟先前的漏洞獎勵計劃限定在部分產品範圍內，包括 Office 365、Azure 等，Windows 則僅限一定範圍。最近微軟對其漏洞獎勵計劃範圍進行了擴張，Windows 系統的各種漏洞現都已加入豪華午餐，甚至包含 Insider 預覽版本。

此次，微軟Windows 漏洞懸賞計劃賞金上限增加到了25萬美元，最低為500美元。具體獎金金額取決於安全漏洞的複雜性，以及報告者提交給微軟的信息數量。

值得注意的是，微軟指出如果安全研究人員發現了已被微軟內部員工發現的漏洞，那麼第一個發現者最高可以得到這個漏洞賞金的10%。

從表單可以看出，微軟新的漏洞懸賞計劃涵蓋五大主要方面的漏洞，包括Microsoft Hyper-V（Windows 10、Windows Server 2012、Windows Server 2012 R2以及Windows Server Insider Preview，賞金為5000-25萬美元不等）、Mitigation Bypass（賞金為500-20萬美元）、Windows Defender（賞金為500-3萬美元不等）、Microsoft Edge（賞金為500-1.5萬美元不等）以及Windows Insider Preview（賞金為500-1.5萬美元不等）。

值得一提的是，該懸賞計劃是持續的、無結束期限的。對此，有分析人士指出，微軟此舉是為了吸引更多的安全研究人員與其共同努力，最終構建出一個更加安全的Windows系統！有興趣的小夥伴，趕緊去微軟官網了解情況吧。

2. 神秘公司25萬美元漏洞懸賞計劃

上周，Bugcrowd平台宣布了一項新的漏洞懸賞計劃，該計劃賞金上限為25萬美元，據悉，這次的高價獎勵是第三方平台收到的數額最大的一筆獎勵。

這次「超級機密」的Bugcrowd漏洞獎勵計劃實行邀請制，而且要求參與的研究人員提交「一份報告，說明他們對於一個潛在攻陷所做的嘗試和理念，以及任何相關信息（不管是否達到了所述目標）」。排名前五的報告如未能找到漏洞但展示出了投入和專業性，那麼會收到1萬美元的獎勵作為工作補償。

最高獎勵25萬美元將頒發給找到「能導致在虛擬化平台上執行代碼的客戶機逃逸漏洞」，以及「能夠在另外一個實例中導致執行代碼執行的客戶機逃逸漏洞」的人員；而發現能導致泄露內存內容和虛擬平台代碼的漏洞，則獲得10萬美元的獎勵；另外，如能發現與控制面板基礎設施問題實現意外網路相關的漏洞，則可獲得2.5萬美元的獎勵。

3. Google漏洞懸賞計劃

Google是當今網路上最具統治力的互聯網公司。它從當初一個簡單的搜索引擎進化成為現在的一個各種媒介的綜合體，它的觸角遍及每個家庭和每台移動設備。這種前所未有的規模也造成了它無所不在的安全風險。

Google最關注的漏洞類型有SQL注入、跨站腳本、跨站請求偽造和遠程代碼執行。發現這些漏洞的研究人員，將獲得Google安全團隊的充分認可並進入Google名人堂。

而說到Google懸賞計劃就不得不提，前幾個月鬧的沸沸揚揚的20萬「Android安全懸賞」項目。據外媒Venturebeat報道，自2010年推出所謂的「Android安全懸賞」項目以來，谷歌已經向1000多名安全研究人員支付了共計900多萬美元賞金，單單去年就支付了300多萬美元。

如今，該公司宣布提高懸賞金額，因為已經有2年時間沒人能領取最高懸賞。谷歌Android團隊近日宣布提高兩項漏洞懸賞金額：

發現遠程漏洞鏈或破解TrustZone、Verified Boot遠程漏洞的人，可以獲得20萬美元獎金，與之前的5萬美元相比翻了4倍；而發現遠程內核漏洞的人可獲得15萬美元獎金，此前為3萬美元。想要獲得這些獎金嗎？快去尋找破解Android的漏洞吧！

4. Exodus Intelligence 50萬美元「研究贊助計劃」

2016年8月，在蘋果公司剛剛宣布20萬美元的漏洞獎金一天之後，安全公司 Exodus Intelligence 又為iOS相關的零日漏洞開出最低5000，最高到50萬美元的漏洞賞金。

【賞金列表】

儘管Exodus公司將這一行為命名為「研究贊助計劃」，但實際上該公司是通過買賣0day漏洞來牟取暴利。據悉，它的賞金計劃不僅針對iOS系統，還包括谷歌（Chrome）和微軟（Edge）的瀏覽器，具體賞金金額如上圖所示。

5. AgileBits為1Password啟動漏洞懸賞計劃

今年3月，知名 iOS 密碼管理應用 1Password 的開發商 Agilebits 通過Bugcrowd 平台宣布：如果有人可以在他們的應用當中找到漏洞（一般指 0-day 漏洞），他們將會支付對方 10 萬美元。在此之前，Agilebits 就已經開啟了賞金項目，只不過之前的賞金只有 2.5 萬美元。這一次該公司把賞金提高了三倍，足以體現其重視程度。

BugCrowd運營副總裁David Baker說，1Password的「奪旗競賽」程序對於吸引研究人員參與此次活動而言，是個獨到的方式。

6. 「黑掉五角大樓」（Hack The Pentagon）項目

你是否還記得「黑掉五角大樓」計劃？「Hack the Pentagon」是美國政府去年發起的一項計劃，運行時間從2016年4月-5月，旨在測試美國國防部對網路攻擊的順應力。該項目由美國國防部防禦部數字化服務部主導，該部門成立於2015年11月，由工程師和專家組成，旨在「提高國防部技術靈活性並解決最複雜的IT問題。」

通過此次為期一個月的活動，共有約250多名漏洞研究人員提交了關於五角大樓的漏洞報告，其中有138人成功發現了賞金價值從100到1.5萬美元不等的漏洞。概括而言，根據該計劃，美國政府共向參與「黑掉五角大樓」項目的研究人員支付了7.5萬美元。

「黑掉五角大樓」的重大意義在於它是第一個聯邦政府漏洞懸賞計劃，是美國國防部發起的世界上首個由政府資助的漏洞獎勵計劃。「五角大樓」計劃成功後，國防部又先後舉辦了「黑掉軍隊」（Hack the Army）和「黑掉空軍」（Hack the AirForce）等多個類似的漏洞懸賞計劃。

7. Apple漏洞懸賞計劃

為了更快找到資安漏洞，過去許多公司紛紛發布漏洞獎勵計劃，包含Facebook、谷歌、微軟、Tesla和雅虎，都已推行多年。

相較之下，雖然蘋果一直高呼安全口號，卻遲遲沒有開放漏洞獎勵機制。蘋果過去曾表示，政府和黑市對發現漏洞給予高報酬，是蘋果不願加入此市場的原因之一。

直至去年8月，蘋果推出了其漏洞獎勵計劃，根據漏洞影響程度不同，獎金從2.5萬美元到20萬美元不等。金額最高的種類為發現蘋果的安全開機的韌體漏洞，用來防止未授權程序自行啟動。不過這項計劃采邀請制，目前僅開放20幾名研究人員，以後將有更多的程序員人加入。

其實，蘋果自從2016年初「iPhone 開後門事變」之後，對黑客的態度就已經有所轉變，蘋果公開「漏洞懸賞計劃」提供獎金之外，還會與發現漏洞的黑客會面。2016年9月，蘋果就曾邀請iOS黑客Luca Todesco 以及一眾白帽黑客到蘋果總部進行親善交流，過去蘋果少有的動作，相信這些動作會令黑客更願意提供漏洞給蘋果去。

不過，儘管蘋果提出最高獎勵金20萬美元，已是提供漏洞獎勵計劃公司中的最高價，卻還是遠遠不及政府執法或黑市的開價。例如，美國聯邦調查局去年為了調查Syed Farook槍擊案件，提出近100美元的報酬以破解犯人使用的iPhone；以及上文提到的Exodus Intelligence 公司也為iOS相關的零日漏洞開出最低5000，最高到50萬美元的漏洞賞金。

8. Facebook漏洞懸賞計劃

Facebook早在2011年就已經推出了自己的漏洞賞金計劃！截至去年10月，Facebook五年來已經付出了500多萬美元的賞金。僅在去年上半年，該公司就收到了超過9000份漏洞報告，並向149名研究人員支付了61萬美元。去年3月，芬蘭的一個10歲的小孩子發現了Instagram漏洞，因此獲得Facebook的65000元賞金；今年1月，白帽子黑客stewie發現Facebook的ImageMagick（一款開源的創建、編輯、合成圖片的軟體）的遠程代碼執行漏洞，獲得4萬美元賞金。

9. LocalTapiola漏洞披露計劃

2016年上半年，芬蘭保險巨頭LocalTapiola在HackerOne平台上推出了自己的漏洞懸賞計劃，為黑客提供最具競爭力的懸賞平台。

去年已經有一名安全研究人員因發現關鍵系統漏洞成功獲取18000美元。此外，該公司表示，任何黑客只要能夠找到嚴重的、項目規定範圍內的漏洞，都有機會獲得50000美元的獎勵。

雖然該項目的最高金額尚未透露，但是當LocalTapiola提高了獎賞額後，提交的漏洞報告數量也增長了50%。截至去年底，LocalTapiola共計接收了38份漏洞報告，並對40名黑客表達了感謝。

看完這些動輒幾十萬美元（摺合幾百萬人民幣）的賞金計劃，你心動沒？小編我只想問問：國內的微信、支付寶、360互聯網巨頭，你們準備好支付程序員獎金了嗎？

撰稿：米洛 編輯：安在君

安在

（ID:AnZer_SH）

新銳|大咖|白帽|深度

推薦閱讀：