组织提高安全性的前6个漏洞赏金平台

只有黑客才能像黑客一样思考。因此，当涉及到成为“防黑客”的时候，你可能需要求助于黑客。

应用程序安全一直是一个热门话题，随着时间的推移，它变得更加炙手可热。

即使我们拥有大量的防御工具和实践（firewalls、SSL、非对称加密等），没有一个基于网络的应用程序可以声称它在黑客的攻击下是安全的。

为什么会这样呢？

简单的原因是软件开发仍然是一个非常复杂且脆弱的过程。开发人员使用的基础设施中仍然存在着错误（已知和未知的），而随着新软件和库的发布，还会产生新的错误。即使顶级科技公司也难免偶尔会出现尴尬的情况，而且有充分的理由。

招聘. . . 黑客！

鉴于bugs and vulnerabilities可能永远不会离开软件领域，那么依赖该软件生存的企业将会怎样呢？例如，一个新的钱包应用程序如何确保能够抵御黑客的恶意尝试呢？

是的，你现在已经猜到了：通过雇佣黑客来对这个新开发的应用程序进行破解！而他们为什么要这样做呢？只是因为有足够大的赏金——漏洞赏金！ ：）

如果“赏金”一词让你想起了西部的野蛮时代，弹无虚发的枪战，那正是这里的想法。你以某种方式能够吸引最顶尖、最有知识的黑客（安全专家）来测试你的应用程序，如果他们找到了漏洞，就会得到相应的奖励。

有两种方法可以做到这一点：1）自己举办漏洞赏金活动；2）使用漏洞赏金平台。

漏洞赏金：自助式 VS 平台

为什么要费心选择（并支付）一个漏洞赏金平台，而不是简单地自己举办活动。我的意思是，只需创建一个页面，提供相关细节并在社交媒体上宣传一下，肯定不会失败，对吗？

嗯，这确实是个好主意，但从黑客的角度来看，这并不容易。寻找漏洞并非易事，因为它需要数年的训练、对新旧事物的无限了解、大量的决心，以及比大多数“视觉设计师”更多的创造力（抱歉，我忍不住说这句话！ :-P）。

黑客不知道你是谁，也不能确定你是否会支付。或者，他可能没有动力。自助式的漏洞赏金对于谷歌、苹果、Facebook等巨头公司来说是有效的，因为人们可以自豪地将这些公司的名字放在他们的作品集中。“在由XYZ技术系统开发的HRMS应用程序中发现了一个关键的登录漏洞”听起来并不令人印象深刻，对不对（对于那些与此名称相似的公司，我向他们致以诚挚的歉意！）？

此外，在进行漏洞赏金时还有其他实际的（而且压倒性的）原因。

缺乏基础设施

我们谈论的“黑客”并不是那些潜伏在暗网上的黑客。

他们对我们“文明”世界没有时间或耐心。相反，我们在这里谈论的是来自计算机科学背景的研究人员，他们要么在大学里，要么已经是赏金猎人很长时间了。这些人想要以特定的格式提交信息，这本身就是一种痛苦。

即使你最好的开发人员也会努力跟上，而且机会成本可能会太高。

处理提交

最后，还有一个问题是证明。软件可能是建立在完全确定性规则上的，但是何时满足特定的要求是有争议的。让我们举个例子来更好地理解这个问题。

假设您为身份验证和授权错误创建了一个漏洞赏金计划。也就是说，您声称您的系统免受冒名顶替的风险，黑客必须破解这些风险。

现在，黑客发现了一个基于特定浏览器工作方式的弱点，使他们能够窃取用户的会话令牌并冒充他们。

这是一个有效的发现吗？

从黑客的角度来看，肯定是一个漏洞。从您的角度来看，也许不是，因为您可能认为这属于用户责任范畴，或者该浏览器根本不是您目标市场的问题。

如果所有这些戏剧都发生在一个漏洞赏金平台上，那么就会有能力的仲裁者来决定这一发现的影响，并解决这个问题。

说到这里，让我们来看看一些流行的漏洞赏金平台。

YesWeHack

YesWeHack是一个全球性的漏洞赏金平台，提供漏洞披露和众包安全等服务，覆盖法国、德国、瑞士和新加坡等许多国家。它提供了一种颠覆性的漏洞赏金解决方案，以应对随着业务敏捷性的增加而增加的威胁，传统工具已不再满足期望。

YesWeHack让您可以访问虚拟的道德黑客池，最大限度地发挥测试能力。选择您想要的猎手，提交要进行测试的范围或与YesWeHack社区分享范围。它遵循一些严格的规定和标准，以保障猎人和您的利益。

通过利用猎手的响应能力提高应用程序的安全性，并将修复和漏洞检测的时间最小化。一旦您启动该程序，您将能够看到差异。

Open Bug Bounty

您是否为漏洞赏金计划付费过高？

尝试使用Open Bug Bounty进行众包安全测试。

这是一个由社区驱动的、开放的、免费的和去中心化的漏洞赏金平台。此外，它提供了与ISO 29147兼容的负责任和协调的漏洞披露。截至目前，它已帮助修复了超过641k个漏洞。

来自WikiHow、Twitter、Verizon、IKEA、MIT、伯克利大学、飞利浦、Yamaha等领先网站的安全研究人员和专业人士已经使用Open Bug Bounty平台解决了他们的安全问题，如XSS漏洞、SQL injections等。您可以找到高度知识渊博且反应迅速的专业人员，以快速完成您的工作。

Hackerone

在漏洞赏金计划中，Hackerone是在访问黑客、创建赏金计划、传播信息和评估贡献方面的领导者。

您可以使用Hackerone的两种方式：使用该平台收集漏洞报告并自行解决，或者让Hackerone的专家来处理繁重的工作（分类）。分类只是将漏洞报告编译、验证并与黑客进行沟通的过程。

Hackerone被Google Play、PayPal、GitHub、星巴克等知名公司使用，因此，它适用于那些存在严重漏洞和严肃费用的人。😉

Bugcrowd

Bugcrowd提供安全评估的几种解决方案之一就是漏洞赏金。它提供一种SaaS解决方案，可以轻松集成到您现有的软件生命周期中，并使成功运行漏洞赏金计划变得轻而易举。

您可以选择拥有一个只涉及少数黑客的私人漏洞赏金计划，或者选择一个涉及成千上万黑客的公开计划。

根据您的需求和安全模型的成熟度，提供专属的安全顾问、深入的黑客简介、仅限邀请的参与等等。

Intigriti

Intigriti 是一个全面的漏洞赏金平台，可以与白帽黑客进行连接，无论您是想进行私人计划还是公开计划。

对于黑客来说，有很多的 bounties 可以得到。根据公司的规模和行业，可获得从 €1,000 到 €20,000 的漏洞赏金。

Synack

Synack 似乎是那种打破常规并取得巨大成就的市场例外之一。他们的安全计划 Hack the Pentagon 是主要亮点，带来了对几个关键漏洞的发现。

所以，如果您不仅寻找漏洞发现，还希望在最高级别上获得安全指导和培训，Synack 就是您的选择。

结论

就像您远离声称“神奇治愈”的治疗师一样，请远离声称弹丸安全是可能的任何网站或服务。我们能做的只是更接近理想的一步。因此，漏洞赏金计划不应期望产生零漏洞应用程序，而应被视为一种筛选出真正恶劣漏洞的重要策略。

点击这个 bug bounty hunting course 了解和获得声望、奖励和赞赏。

了解 biggest bug bounty programs in the world。

希望您能消灭很多的虫子! 🙂