Bugcrowd发布漏洞悬赏金模板:100美元到1万5美元不等

据外媒报道,日前,专门致力于帮助客户寻找漏洞的平台Bugcrowd公布了一个安全漏洞悬赏模板。据悉,这份模板除了依据其在过去3年内的200个漏洞悬赏项目之外它还借鉴了来自谷歌Chrome、惠普TippingPoint’s
ZDI、微软Mitigation Bypass Bounty等安全悬赏项目。

模本将企业分为三类:基础类、进阶类、高级类。其中,基础类指的是借助开发产品天性而解决掉安全问题的团队;进阶类则是一支定义明确且从ID部门那里获得了一些自主权的团队;高级类则是由首席信息安全官直接向公司CEO并在公司基础设施中拥有属于自己突出位置的团队。

安全漏洞根据它的影响分成五类:P1-严重、P2-高风险、P3-中级风险、P4-低风险、P5-可接受风险。

Bug crowd在模板中建议,基础级的漏洞悬赏奖金应定在100美元-1500美元之间;进阶类在200美元-5000美元之间;高级类在300美元-15,000美元之间。

这种通过悬赏找到公司系统漏洞的做法现在已经变得愈发普遍,而Bugcrowd模板的提供一方面给了这些公司一个非常好的参考标准,一方面则可以让安全研究员能够得到合理的报酬。

本文转自d1net(转载)

时间: 2024-07-31 14:01:10

Bugcrowd发布漏洞悬赏金模板:100美元到1万5美元不等的相关文章

全球最大成人网站YouPorn推出漏洞悬赏计划:最高可获25000美元

本文讲的是全球最大成人网站YouPorn推出漏洞悬赏计划:最高可获25000美元,YouPorn,一个世界上访问量最大的成人网站之一,近日该网站决定与合作伙伴HackerOne联手启动一项漏洞悬赏计划,奖金最高可达25000美元. 随着像苹果.谷歌.Facebook这种巨头都启动了自己的赏金计划,而且都是数百万美元级别的项目,成人娱乐网站也是不甘落后,继兄弟网站Pornhub于去年上线其漏洞悬赏计划后,YouPorn也选择通过悬赏的方式吸引更多的白帽黑客来帮助他们发现并解决其网站系统中存在的潜在

谷歌的20万美元漏洞悬赏几乎无人问津,被指钱太少没诚意!

六个月前,谷歌掷出了一个20万美元的漏洞悬赏项目公告,大意是: 谁能在仅知道受害者电话号码和电邮地址的情况下,远程入侵对方的 Android 设备,20万美元的奖金,少侠拿好请慢走! 几乎无人迎战.(几乎二字几乎可以去掉) 听起来似乎是个好消息,这说明谷歌家的移动操作系统的安全性强?但这似乎不是理由,再安全的系统性也会有人愿意来挑战.真正的理由,其实从这个叫"Zero prize"的漏洞悬赏计划推出时就有人指出来了: 一个不依靠用户交互就能远程搞定设备权限的漏洞来说,20万美元真是少的

谷歌的 20 万美元漏洞悬赏几乎无人问津,被指钱太少没诚意!

六个月前,谷歌掷出了一个20万美元的漏洞悬赏项目公告,大意是: 谁能在仅知道受害者电话号码和电邮地址的情况下,远程入侵对方的 Android 设备,20万美元的奖金,少侠拿好请慢走! 几乎无人迎战.(几乎二字几乎可以去掉) 听起来似乎是个好消息,这说明谷歌家的移动操作系统的安全性强?但这似乎不是理由,再安全的系统性也会有人愿意来挑战.真正的理由,其实从这个叫"Zero prize"的漏洞悬赏计划推出时就有人指出来了: 一个不依靠用户交互就能远程搞定设备权限的漏洞来说,20万美元真是少的

一位用户发布了一张价值100万美元的企业级存储服务器的照片

近日在新闻聚合网站Reddit有一条新闻遭到热议:一位用户发布了一张价值100万美元的企业级存储服务器的照片. 这台散发着幽蓝色光芒,由存储科技巨头EMC制造的100T的存储服务器确实很漂亮. 等等,是不是搞错了,100T就价值100万美元?好像有点贵.但是我们需要明白一个道理:bit也是不平等的,你和朋友一起分享的视频中的一个bit和用来保存你银行卡账号的bit价值是完全不同.如果你需要快速可靠的得到数据,显然在百思百买的便宜硬盘并不是最好的选择.照片的作者bpoag是这样描述的: 这是一台E

安卓漏洞悬赏飙至20万美元:竟是中国人出的招

房价涨,物价涨,漏洞悬赏金额怎么就不涨? 最近,Google发话了,将发现Android操作系统缝隙的奖金提高至20万美元. 有外媒称,Google将漏洞悬赏金额提升和数天前名为"Judy"的歹意软件损害3650万Android手机相关.事实上,Google此次将金额提升也许是个"冲动". 360安全研究员龚广的新浪微博"龚广-OldFresher"6月2日称:"在@SyScan360上给google的scott反映了广大挖洞群众对Go

服务器-悬赏微信红包100,如果解决绝对支付

问题描述 悬赏微信红包100,如果解决绝对支付 web项目(linux服务器 java),需要pc端考勤,怎么去判断是在公司网络打的卡 目前有方案,就是在系统上记录公司的路由器mac地址,现在遇到的问题是,在打卡的时候不知道怎么获取通过打卡请求获取的用户所在网络路由器的mac进行对比. 其他方案也行. 支付方式:如解决了,会私信要微信号,发送红包 解决方案 1.最简单的方式,可以限制只能在公司内网访问相应的打卡网址.2.在打卡系统上线之前,将所有人的mac地址都遍历到数据库中存储(最简单的方式是

DZ论坛尚未设置可发布超级悬赏贴的版块,请管理员先在discuz后台设置?

问题描述 DZ论坛尚未设置可发布超级悬赏贴的版块,请管理员先在discuz后台设置? 找了半天没找到...哪位大神解答一下

漏洞悬赏平台 IBB 成立,专注找茬 PHP 等大项目

安全公司 HackerOne 的创始人 Alex Rice 近日联合 Facebook .微软,成立一个新的漏洞悬赏平台Internet Bug Bounty(IBB). 该平台目前的悬赏计划针对一批对互联网至关重要的开源项目,包括 PHP, perl, Python, Ruby, OpenSSH 等.Rice 解释,因为这些项目自身无力运作漏洞悬赏. 参与到这项漏洞悬赏计划的安全研究人员,在发现安全漏洞后,会得到"赏金"或其它经济奖励."漏洞发现后会直接反映给该项目的维护者

Facebook宣布启动Oculus,Rift,VR设备漏洞悬赏计划

在三月份,Facebook以20亿美元收购了 虚拟现实设备公司Oculus,VR,除了给予该公司很大的空间之外,Facebook当然不忘用资金支持该公司的产品Oculus,Rift虚拟现实显示器.现在Facebook宣布,将为在Oculus,Rift的虚拟设备软硬件(包括开发SDK)或网站中发现并提交漏洞的个人提供丰厚的奖金.奖金最低额度为500美金,不设上限.据Facebook安全工程师Neal,Poole称,目前大部分发现的bug是面向Oculus开发者的消息系统,以及网站相关的部分漏洞.这