[閒聊] 2017.W41 - Bounty Program (賞金計畫)

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間7年前 (2017/10/10 20:56)推噓2(2推 0噓 1→)

留言3則, 2人參與討論串1/1

2017.W41 - Bounty Program (賞金計畫) > Bounty 跟新創一樣第一份報告很重要 ## 前言 ## 處理公司的 Bounty Program 活動都會遇到蠻極端的幾種狀況 1- 寫得很專業幾乎可以馬上判斷是否是安全問題 2- 寫得很爛光來回詢問細節就需要 2 ~ 4 次來回信件 3- 亂槍打鳥問一下細節就無聲卡 ## 內容 ## Bounty Program[1] 是一種變相委外的資安審計活動藉由這個活動讓白帽[2]藉由提報安全性漏洞來名、利雙收公司也可以藉由這個活動收到且及早修復尚未爆發的安全性疑慮目前有很多公開的 Bounty Program 平台讓各公司可以發布 Bounty Program 內容包含列舉受理的 Bounty 範圍以及相對應的獎金以知名網站 PornHub 在 HackerOne 平台中[3] 為例他明確列舉了五個受理 (In-Scope) 的網域以及明確排除的次級網域 (Sub-Domain) 並針對各種類型的安全性漏洞標註從 $50 ~ $15000 不等的價格舉例來說：針對核心網站發現 RCE (Remote Code Execute) 就可以獲得 $15000 的獎勵與聲望每個 Bounty Program 活動中都會有明確排除條款 (Exception / Rules) 這是為了避免安全研究員在挖掘漏洞的時候影響到公司的正常服務像是 + DoS (Denial-of-Service) + Compromise user data and/or account + Prematurely announce the details 並為了讓研究人員專注在公司預期的安全性漏洞通常也會排除掉相對不嚴重的安全性漏洞像是不嚴重的 reflected XSS / self-XSS / information disclosure 等對於公司來說一個 Bounty Program 看似花費不貲 (以 PornHub 為例共發出 $184,345) 但對於一個事業穩定的公司而言嚴重的安全性漏洞延伸的成本絕對遠大於此聘請一個專業的安全滲透團隊花費的成本也絕對遠大於 Bounty Program 的支出 [1]: https://en.wikipedia.org/wiki/Bug_bounty_program [2]: https://en.wikipedia.org/wiki/White_hat_(computer_security) [3]: https://hackerone.com/pornhub -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1507640166.A.277.html