HackerOne平台2016年最具競爭力的漏洞懸賞項目

互聯網充斥著漏洞，這是不足為奇的事。從程序員開始寫代碼起，他們就必定會犯錯。而只要他們犯錯，犯罪分子、政府、黑客分子就都能對這些漏洞無所不用其極。

谷歌、Facebook、Dropbox、PayPal、微軟、雅虎，甚至電動車製造商特斯拉等科技公司如今都有一種懸賞機制，只要黑客發現他們產品存在的漏洞並報告給他們，這些公司就會向這些黑客提供獎金。

這是科技行業對黑客發現漏洞的標準回應方式發生的重大轉變。

HackerOne作為漏洞獎勵平台也吸引了很多需求方的關注，越來越多的企業和政府機構開始加入到漏洞懸賞的陣營中。以下為HackerOne評選的2016年最具競爭力的漏洞懸賞項目，白帽黑客們趕緊看過來！

1. PornHub

今年5月，為了鼓勵人們提交網站安全漏洞，成人網站Pornhub攜手漏洞披露平台HackerOne推出了一個「賞金除BUG」項目，激發人們在第一時間彙報漏洞。

據悉，發現者只需在第一時間彙報漏洞並附上清晰的文字說明（遵照怎樣的步驟可重現bug）、屏幕截圖、概念驗證代碼等，就可以獲得50美元至25000美元的獎勵。

目前PornHub已經接收了311名黑客提交的報道，並感謝他們為挖掘漏洞維護PornHub網站安全方面做出的努力。該項目懸賞的最高金額已經達到20000美元，獲得者為今年7月份提交了一個遠程執行漏洞報告的研究員。目前，PornHub為漏洞披露項目懸賞的獎金總額已經達到了150420美元。

2. LocalTapiola

大約8個月之前，芬蘭保險巨頭LocalTapiola推出自己的漏洞懸賞計劃，為黑客提供最具競爭力的懸賞平台。

近日，一名安全研究人員因發現關鍵系統漏洞成功獲取18000美元。此外，該公司表示，任何黑客只要能夠找到嚴重的、項目規定範圍內的漏洞，都有機會獲得50000美元的獎勵。

雖然該項目的最高金額尚未透露，但是當LocalTapiola提高了獎賞額後，提交的漏洞報告數量也增長了50%。目前LocalTapiola共計接收了38份漏洞報告，並對40名黑客表達了感謝。

3. Twitter

早在2014年，Twitter 就與HackerOne 合作推出了漏洞賞金計劃，為每一個漏洞報告至少支付 140 美元，這些漏洞覆蓋 Twitter.com、ads.twitter、移動版 Twitter、TweetDeck、app.twitter 及其 iOS 和安卓應用程序。而事實也證明，Twitter的漏洞懸賞項目確實是安全研究人員最青睞的項目之一。

超過365名黑客已經成功提交了漏洞報告，解決了約549個安全問題。6個月前，一名黑客因發現嚴重的系統漏洞被成功授予15120美元獎勵。目前，Twitter通過HackerOne平台共計支付了561980美元獎勵金。

4. Snapchat

Snapchat的漏洞賞金計劃是兩年前推出的，也是一個相對成功的項目。截至目前共有125名安全研究人員成功提交漏洞報告，共計獲取金額超過70000美元。據悉，該項目的最低獎勵金額為100美元，但是最高金額在10000—15000美元之間。

5. Uber

今年5月，Uber正式推出自己的漏洞懸賞計劃，讓世界各地黑客在Uber系統中查找漏洞。小型漏洞賞金在數千美元，但重大的安全漏洞可以賺取高達10000美元。這項活動從5月1日開始，黑客將有90天的時間尋找Uber系統當中的漏洞和錯誤，發現四個以上漏洞的黑客將額外獲得10%的獎金。

這次活動分為三個層次，如果能夠更改司機照片或者批量查找用戶通用唯一標識符，就可以獲得3000美元獎金；如果找到顯著的漏洞，如丟失授權檢查，導致電子郵件地址、出生日期、姓名以及電話號碼等數據曝光，將獲得5000美元獎金；至於那些高危漏洞，如完全獲得用戶帳戶控制權，或任何公開社會安全號碼、信用卡號碼、銀行賬戶號碼和駕駛執照照片等個人資料的安全漏洞，黑客將可以獲取10000美元獎金。

截至目前，共有466名黑客提交漏洞報告並獲得感謝，最高金額為10000美元，平均賞金在759—1000美元之間。

6. Hack the Pentagon（黑掉五角大樓）

「Hack the Pentagon」是美國政府今年發起的計劃，旨在測試美國國防部對網路攻擊的順應力。項目於4月份正式啟動持續24天，共計發現138個漏洞，獎勵金額達70000美元。據悉，此次項目授予的最高獎勵金額為3500美元，平均金額為588美元。

總結

隨著漏洞懸賞計劃逐漸趨勢化，安全專家表示，此舉雖然有效，但未免顯得被動。他們認為，要做這場貓抓老鼠的遊戲中領先的唯一途徑是，鼓勵開發者在設計中結合安全編碼實踐。

Linux Foundation及其他組織指出：

「今時今日，漏洞懸賞計劃是一個不錯的亡羊補牢的方式。但長遠來說，為保障整個互聯網的健全我們還需要更好地投資。開發者應該專註於安全編碼技能，而非潛在里擔憂漏洞的出現。國家和組織總會有源源不斷的間諜工具，但如果你能讓安全防禦更上一層樓，那麼至少那些工具入侵的難度也會加大。」

科學技術的進步永無止境，錯誤也不會消失。而且，對黑客來說，最好的事物莫過於錯誤，最重要的是我們能夠從錯誤有所學、有所得。

* 參考來源：ZDNet

，米雪兒編譯，轉載請註明來自FreeBuf.COM