Mi az a bug bounty?

Valószínűleg hallottál már a Bug Bounties-ről, de nem tudod, mik azok. A zűrzavar tisztázása érdekében elkészítettük ezt az útmutatót, amely részletez mindent, amit a hibajavító programokról tudnia kell.

Mi az a bug bounty?

A biztonsági hibákért járó jutalom egyfajta jutalomprogram a szoftverfejlesztők számára. A szoftvercégek és az egyéni hackerek összefognak, hogy megtalálják a szoftveralkalmazások hibáit, mielőtt nyilvánosságra hozzák azokat. Mindegyik hibadíj némileg eltérő, de mindegyiknek megvannak a betartandó szabályai. Az amatőröket gyakran bátorítják, hogy segítsenek, de fontos betartani ezeket a szabályokat és az egyes programok felelősségteljes közzétételi szabályzatát.

Mennyit fizet egy bug bounty?

Ez vállalatonként és termékenként változik, de általában a legalacsonyabb összeg 100 dollár körül lesz. Csak néhány cég kínál 1 millió dollár körüli értéket, bár a legtöbb nagy cégnek lesz egy programja 100 000 dolláros ajánlattal.

Microsoft bug bounty

A Microsoft legjobb ajánlata 300 000 dollár a Microsoft Azure felhőszolgáltatásaival kapcsolatos sebezhetőségi jelentésekért. A vállalat emellett 100 000 dollárt fizet, ha sebezhetőséget talál az Identity szolgáltatásaiban, és 250 000 dollárt a Microsoft Hyper V-ben talált biztonsági problémákért.

instagram viewer

A Microsoft más szolgáltatásaiban talált sebezhetőségek általában 15 000 és 30 000 dollár közötti bevételt eredményeznek. Az Xboxon talált biztonsági problémákkal 20 000 dollárt, míg a Microsoft Edge Chromium alapú verziójában tapasztalt problémákkal akár 30 000 dollárt is kereshet.

Apple bug bounty

Az Apple kínálja az egyik legsúlyosabb hibajavító ajánlatot. A cég 1 millió dollárt ad Önnek, ha sikerül találnia egy sebezhetőséget, amely lehetővé teszi, hogy valaki felhasználói beavatkozás nélkül feltörjön egy hálózatot. A cég saját szavaival élve ennek egy „nulla kattintásos kernelkód-végrehajtásnak kell lennie perzisztenciával és kernel PAC bypasssal”.

Az Apple jelenlegi webhelyén feltüntetett legkisebb kifizetés 100 000 dollár, amelyet akkor fizet ki, ha sikerül megtalálnia. az iCloud biztonsági réseit, megkerülheti a lezárási képernyőt, vagy megtalálhatja a módját az érzékeny adatokhoz való engedély nélküli hozzáférésnek egy telepített alkalmazás.

Google bug bounty

A Google rengeteg jutalmat kínál termékei széles skáláján.

A Google tulajdonában lévő internetes tulajdonokban talált sebezhetőségekért a jutalom 100 és 5000 dollár között mozog. A Chrome sebezhetőségeinek kifizetése valamivel nagyobb, 500 és 30 000 dollár között mozog, míg a Google Playen talált biztonsági problémákat 500 és 20 000 dollár között jutalmazzák.

Az igazi pénz azonban a Pixel-termékeken az Androidra szánt hibadíjban található. Ez a program akár 1 millió dollárt is fizet, a felfedezett kizsákmányolástól függően. A legjobb dollárt azért fizetik ki, aki képes feltörni a Pixel Titan M chipet.

A fentieken kívül néhány támogatás is elérhető a Google-on keresztül. Ezek a már bejáratott sebezhetőség-kutatók számára készültek, és 1337 dollártól 3133 dollárig terjednek. Bizonyos nyílt forráskódú projektek javasolt javításaiért akár 20 000 USD összegű kifizetés is lehetséges.

Facebook bug bounty

A Facebooknak nincs felső határa arra vonatkozóan, hogy mennyit fog kifizetni a hibajavításokért, ehelyett van egy sebezhetőségi számítása, amely figyelembe veszi „a jelentés hatását, könnyű kihasználhatóságát és minőségét”.

Röviden: a vállalatnak kell eldöntenie, mennyit ér az újonnan felfedezett sebezhetőség. A jutalom legkisebb összege 500 dollár, de egy magánszemély korábban 50 000 dollárt kapott a munkájáért.

A bug bounty program az összes Facebook-terméket tartalmazza, így ugyanazt a portált használhatja az Instagrammal kapcsolatos problémák beküldésére.

HackerOne bug bounty

A HackerOne a platform és a kollektív keveréke. Portált biztosít a nagy technológiai cégek és a hackerek számára, lehetővé téve, hogy előbbiek reklámozzák, milyen pénzbeli jutalmakat kínálhatnak, utóbbiak pedig sebezhetőségi jelentéseket nyújthatnak be.

Jó könyvtárral rendelkezik az aktuális hibajavításokról, amelyek 100 és 2000 dollár között kínálnak sebezhetőséget.

Ezenkívül az Internet Bug Bounty nevű programnak is otthont ad, amely akkor fizet, ha sikerül biztonsági hibát találni az internetes veremcsomagot támogató szoftverben. Például, ha problémát talál a népszerű Python programozási nyelvben, 500 dollár zsebpénzt kereshet.