2017.W41 - Bounty Program (賞金計畫)
> Bounty 跟新創一樣 第一份報告很重要
## 前言 ##
處理公司的 Bounty Program 活動都會遇到蠻極端的幾種狀況
1- 寫得很專業 幾乎可以馬上判斷是否是安全問題
2- 寫得很爛 光來回詢問細節就需要 2 ~ 4 次來回信件
3- 亂槍打鳥 問一下細節就無聲卡
## 內容 ##
Bounty Program[1] 是一種變相委外的資安審計活動
藉由這個活動讓白帽[2]藉由提報安全性漏洞來名、利雙收
公司也可以藉由這個活動 收到且及早修復尚未爆發的安全性疑慮
目前有很多公開的 Bounty Program 平台讓各公司可以發布 Bounty Program
內容包含列舉受理的 Bounty 範圍以及相對應的獎金
以知名網站 PornHub 在 HackerOne 平台中[3] 為例
他明確列舉了五個受理 (In-Scope) 的網域 以及明確排除的次級網域 (Sub-Domain)
並針對各種類型的安全性漏洞 標註從 $50 ~ $15000 不等的價格
舉例來說:
針對核心網站發現 RCE (Remote Code Execute) 就可以獲得 $15000 的獎勵與聲望
每個 Bounty Program 活動中 都會有明確排除條款 (Exception / Rules)
這是為了避免安全研究員在挖掘漏洞的時候 影響到公司的正常服務
像是
+ DoS (Denial-of-Service)
+ Compromise user data and/or account
+ Prematurely announce the details
並為了讓研究人員專注在公司預期的安全性漏洞 通常也會排除掉相對不嚴重的安全性漏洞
像是不嚴重的 reflected XSS / self-XSS / information disclosure 等
對於公司來說 一個 Bounty Program 看似花費不貲 (以 PornHub 為例共發出 $184,345)
但對於一個事業穩定的公司而言 嚴重的安全性漏洞延伸的成本絕對遠大於此
聘請一個專業的安全滲透團隊 花費的成本也絕對遠大於 Bounty Program 的支出
[1]: https://en.wikipedia.org/wiki/Bug_bounty_program
[2]: https://en.wikipedia.org/wiki/White_hat_(computer_security)
[3]: https://hackerone.com/pornhub