安全界的“赏金猎人”

在世界各地，有这样一种职业，他们每天在互联网上寻找漏洞，不是为了攻击，而是向漏洞提交平台换取金钱，他们被称为白帽子中的“赏金猎人”。

随着互联网的蓬勃发展，安全问题一直是企业最头痛的问题。上半年，全球勒索软件频频作案，诸多国际大企纷纷落马，缴纳了不菲的赎金。

微软、谷歌、腾讯、360等等，稍微有点实力的公司，都会拥有自己的安全响应中心（SRC）。

漏洞提交平台和漏洞奖励计划，应运而生。

就像网游中的天梯榜，每个漏洞提交平台均有自己独特的英雄榜，除了丰厚的金钱奖励，名气和声望也是众多赏金猎人所追逐的。

Bugcrowd漏洞提交平台

全球漏洞提交平台很多，Bugcrowd就是其中一个，聚集了全球数万名黑客，挖掘有价值的漏洞和发布众测（赏金）任务。一个黑客如果是可怕，那规模数万的黑客，就是恐怖了，顷刻之间，翻云覆雨。

国内也有类似的平台，如漏洞盒子、乌云众测等等。

FireEye网络安全公司

我们再说说火眼的前世今生。

2013年，斯诺登揭露美国“棱镜”计划，全球公司愈发重视安全问题，对美国政府的不信任日益加深。从而导致了2014年，它与另外一家臭名昭著的安全公司Mandiant的收购合并。Mandiant曾以虚假黑客攻击报告闻名于世，最后沦为政治牺牲品。

火眼发布赏金计划

这次火眼宣布新的漏洞奖励计划，就是在Bugcrowd上发布的赏金项目，目的就是让众多黑客挖掘自己网站的漏洞。

任何人，只要登录Bugcrowd平台，均可以提交漏洞，根据漏洞的严重程度和潜在影响，平台将支付50美元到2500美元不等的奖金。

这里，Bugcrowd有其自己的漏洞等级分类法，在官方网站可以查到。

在这里蘑菇提醒下各位大神，渗透测试仅授权在“适用范围内”的目标。其他网站的测试，可就是恶意攻击了哦。

来源：freebuf.com 2020-08-13 13:27:12 by: 信息安全的那些事儿