超级会员免费看
选择你的漏洞赏金狩猎场
1. 漏洞赏金计划概述
在决定参与哪些漏洞赏金计划时,了解相关信息至关重要。这些信息包括公司的报告提交流程、提交成功率、目标网站的攻击面等。通常,根据公司类型、规模、奖励计划性质(第三方市场或内部计划)以及公开声明和文档,这些信息很容易获取。
参与漏洞赏金计划主要有两种类型:第三方市场和公司赞助计划。
2. 第三方市场
第三方市场是连接公司和研究人员的平台,它标准化了提交流程、披露参与规则和其他文档,同时为社区提供论坛、教学博客和其他服务。这些市场是技术信息的良好来源,其收集的指标(如公司响应时间和平均支付金额)有助于你决定投入精力的方向。一致的提交标准还允许你开发可修改和复用的模板,从而使信息收集工具自动化,让整个工作流程更轻松、更一致。
以下是一些常见的第三方市场平台:
|平台名称|特点|
| ---- | ---- |
|Bugcrowd(https://www.bugcrowd.com/)| - 注册流程标准,成为研究人员无需经验证明。
- 可选择公开或私有个人资料,页面显示排名、积分、提交数量、提交准确性和奖励漏洞的平均严重程度。
- 维护漏洞评级分类系统(VRT),帮助研究人员识别高价值漏洞。
- 根据过去90天的行为指标邀请研究人员参加私人赏金计划。
- 每次登录提供30天的中继电子邮件地址,可用于创建测试账户。
- 涵盖各种规模和收入模式的企业,目标主要是Web应用程序,也有移动应用和其他类型的列表。|
|HackerOne(https://www.hackerone.com/)| - 有自己的积分系统(声誉
订阅专栏 解锁全文
扫一扫
2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
