虽然在8月份结束的美国黑帽大会上,研究者曝光了由于疏忽和数据处理纰漏导致的漏洞研究和漏洞赏金市场普遍存在的数据泄露问题,但是漏洞赏金计划依然是当今企业纵深防御的有效措施之一。
值得漏洞猎人们留意的是,在8月份的Black Hat USA 2022上涌现了几个新的渗透测试工具,包括渗透测试管理平台AttackForge、开源侦察框架ReNgine以及渗透测试工具AWSGoat和AzureGoat。
9月份最热门的漏洞赏金计划无疑是谷歌在8月30日宣布的开源软件漏洞奖励计划(OSS VRP),该计划旨在遏制软件供应链的攻击热潮。目前已经有多位安全研究人员从VRP计划中拿到了3000-20000美元不等的漏洞赏金。
以下,我们整理了9月份其他值得关注的10个最新漏洞赏金计划:
阿布拉克萨斯投票系统
(Abraxas VOTING)
简介:该投票系统将用于管理瑞士政治选举中的选票和汇总计票。
提供者:Bug Bounty Switzerland
类型:半公开
最高奖励:10,000美元
备注:
最高奖励约为10,000瑞士法郎,大致相当于同等数额的美元金额。
通过Bug Bounty Switzerland申请对程序进行渗透测试(申请可能会被接受,也可能不会)
计划地址:
https://www.bugbounty.ch/programs/
Airlock
简介:Airlock的Secure Access Hub是一种Web应用程序防火墙(WAF),保护全球30,000多个Web应用程序。
计划提供者:Bug Bounty Switzerland
类型:半公开
最高奖励:未公开
备注:
“这个程序是按照CTF竞赛的方式开发的。”该公司表示。
研究者需通过Bug Bounty Switzerland申请对程序进行渗透测试(申请可能会被接受,也可能不会)
计划地址:
https://www.bugbounty.ch/programs/
优步(Uber)街角商店
简介:优步的按需杂货配送服务为严重漏洞提供2,500美元,为严重漏洞提供1,000美元。
提供者:HackerOne
类型:公开
最高奖励:2,500美元
备注:
覆盖七项资产:.cornershopapp.com网站、iOS和Android应用程序、源代码、两个包含内部资产的域和QA环境。
计划地址:
https://hackerone.com/cornershop?type=team
以太坊-Enhanced
简介:当以太坊过渡到权益证明时,以太坊区块链的漏洞赏金奖励在两周内(截至9月8日)翻了两番。
提供者:独立
类型:公开
最高奖励:100万美元
备注:
对支付应用四倍乘数意味着道德黑客可以通过提交有效的关键漏洞获得高达100万美元的收入。
谷歌OSS VRP
简介:Google的开源软件漏洞奖励计划(OSS VRP)侧重于Google拥有的GitHub组织(例如GoogleAPI和GoogleCloudPlatform)的公共存储库,以及它们的第三方依赖项。
提供者:独立
类型:公开
最高奖励:31,337美元
备注:
赏金从100美元到31337美元不等,对于特别敏感的项目(例如Bazel、Angular、Golang、Protocol buffers和Fuchsia)以及可能导致供应链受损的漏洞,奖励通常会更高。
查看Google OSS VRP漏洞赏金页面
(https://security.googleblog.com/2023/08/Announcing-Googles-Open-Source-Software-Vulnerability-Rewards-Program%20.html)了解更多详情。
Pogo
简介:Pogo是一款移动应用程序,它为用户提供了一种在线利用其个人数据的方式,以便在购物、财务等方面获得积分和折扣。
提供者:HackerOne
类型:公开
最高奖励:2000美元
备注:
测试范围包括平台生产环境的Android和iOS应用程序以及移动应用程序使用的API端点。
计划地址:
https://hackerone.com/pogo?type=team
Proton
简介:Proton是保护隐私的电子邮件服务,如果您被接受加入该计划,将能提前和独家访问未发布的应用程序版本及其源代码。
提供者:Bug Bounty Switzerland
节目类型:半公开
最高奖励:30000美元
备注:
瑞士平台还承诺提供有吸引力的赏金、“建设性对话、公平规则和合法安全港”。
通过Bug Bounty Switzerland申请对程序进行渗透测试(申请可能会被接受,也可能不会)
计划地址:
https://www.bugbounty.ch/programs/
Secure Open Source Rewards
(Linux基金会的开源安全奖金)
简介:Linux基金会已邀请开发人员和安全研究人员就“强化关键开源项目”的方法提出建议,谷歌的开源安全团队提供了初始赞助。
提供者:独立
类型:公开
最高奖励:10000美元
备注:
奖金金额范围从505美元的小改进到10000美元或更多的“可防止重大漏洞的复杂、高影响和持久的改进”。
星巴克–Enhanced
简介:包含用于验证漏洞发现的独特Nuclei模板的错误报告现在将为研究人员赢得250美元的奖金。
提供者:HackerOne
类型:公开
最高奖励:6000美元
备注:
星巴克的漏洞赏金计划于2016年启动,范围覆盖36项资产,接近1500份已解决的报告,在撰写本文时平均赏金支出为250至500美元。
计划地址:
https://hackerone.com/starbucks/policy_versions
Trendyol
简介:土耳其最大的电子商务平台Trendyol Group在成功举办了限时的HackerOne挑战赛后,推出了一项持续的漏洞赏金计划。
提供者:HackerOne
类型:公开
最高奖励:3000美元
备注:
高危漏洞将获得2000美元至3000美元之间的奖励,而严重漏洞给漏洞猎人带来的收入在750美元至1250美元之间。
计划地址:
https://hackerone.com/trendyol?type=team
