国内SRC奖励计划下的漏洞奖励与现状
引言
在网络安全领域,漏洞挖掘者扮演着保护网络安全的重要角色。为了鼓励更多人参与漏洞挖掘和报告,许多组织和公司推出了SRC(漏洞奖励计划)来奖励那些能够发现并报告系统漏洞的人。然而,近年来,国内SRC奖励计划的运作方式引发了一些争议。本文将探讨国内SRC奖励计划的问题,以及这种现象在网络安全圈中所引发的反应和社会现状。
SRC奖励计划的设立初衷是为了鼓励安全研究人员积极参与漏洞挖掘和报告工作,以帮助企业和组织及时修复系统中的漏洞,提升网络安全水平。通过给予漏洞挖掘者一定的经济奖励,可以增加其积极性和动力,激励更多人加入到网络安全事业中。
近年来,国内SRC奖励计划出现了一些问题。主要问题是奖励金额的分配不合理。一方面,那些频繁提交漏洞且屡次贡献的漏洞挖掘者,他们的奖励金额不断上升,甚至超过了预算的承受范围。另一方面,对于不经常提交漏洞(虽然漏洞危害甚广)或者提交的漏洞危害度较低(虽然频繁提交漏洞)的挖掘者,他们的奖励金额却不断下降,甚至降低到无法激励他们持续参与的程度。
作为漏洞挖掘者,他们在提交漏洞之前经历了大量的时间和精力投入。然而,由于SRC奖励计划的问题,他们得到的回报却逐渐减少。这种现象导致了一种恶性循环,即漏洞挖掘者不再积极参与漏洞挖掘,因为奖励已经无法满足他们的期望。一些有实力的漏洞挖掘者可能转向其他渠道,寻找更好的机会或利润,这对于国内的网络安全事业是一个巨大的损失。
经过
为了更加具体地说明问题,我们来看一些实际案例。
笔者挖掘到了QQ邮箱和微信QQ邮箱同时存在CSRF劫持授权code漏洞,攻击者可以通过点击链接授权获取对应用户的身份权限。然而,仅仅获得了约900元的奖励。
类似地,还发现了QQ空间的命令执行漏洞的再绕过,但奖励金额却被降低为约2000元。
譬如此类恶意降级的漏洞不胜其数。
微信远程拒绝服务只给了85元。
未授权开启或关闭SMTP,并且任意查看其他人的登录日志,仅仅也只给了500元。
结语
不仅这些微薄奖金的漏洞,而那些以"危害不足"为由被驳回的漏洞,SRC也均修复了。
我相信,其他一些漏洞挖掘者在其他SRC中也遇到了类似的问题,他们的努力和贡献被低估,得到的奖励与其预期相差甚远。
SRC奖励计划的不公平性会导致网络安全圈内的竞争。为了争取更高的奖励,一些漏洞挖掘者可能会采取不道德或者不负责任的行为,例如私下出售漏洞信息给黑客组织,从而危害了网络安全的整体利益。这种竞争导致了网络安全圈内的紧张氛围和信任危机,给整个行业带来了负面影响。而一些像笔者一样将漏洞及时上报的白帽子却不如一些跑自动fuzz的脚本小子。
我认为,为了解决SRC奖励计划存在的问题,有几点建议可以考虑。首先,应该建立一个公正的评估机制,对漏洞的危害度和贡献度进行科学、客观的评估。其次,应该根据漏洞的严重性,影响范围,挖掘难度来确定合理的奖励金额,以避免出现奖励过高或过低的情况。并且应该加强与漏洞挖掘者的沟通和反馈,及时回应他们的报告并给予合理的奖励,笔者经常出现联系不上审核和运营的情况。审核的权利大于运营,而没有第三方审查活动意味着一名审核可以"掌管大局"。
最重要的是,应该增加SRC奖励计划的预算给其他没有提交过漏洞的白帽子,以满足越来越多漏洞挖掘者的参与和贡献。
国内SRC奖励计划下的漏洞奖励与现状相关推荐
- Clubhouse 推出漏洞奖励计划,严重漏洞最高可获3000美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 音频聊天室应用 Clubhouse 在 HackerOne 平台推出了公开的漏洞奖励计划:找到严重.高危.中危和低危漏洞的研究人员最多可获 ...
- 漏洞奖励计划的五大成功要素问答实录
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 媒体网站 Threatpost 邀请漏洞奖励社区的四名意见领袖参加了一场题为<运行成功的漏洞奖励计划的五大要素>的网络研讨 ...
- 我如何判断漏洞奖励计划是否值得参加?如何获得最大收益?
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 @cache-money是一位颇有影响力的白帽黑客,之前是一名软件工程师.经过一年的全职漏洞猎人生涯后,他又回归到红队安全工程岗位,并 ...
- Hacker Plus:Facebook 推出漏洞奖励 “忠诚计划”
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 最近,Facebook 公司推出漏洞奖励忠诚计划 Hacker Plus,这在技术公司漏洞奖励平台上尚属首次. Facebook 表示 ...
- 微软提高 Microsoft 365 的漏洞奖励
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 微软提高了对 Microsoft 365 和 Dynamics 365/Power Platform 漏洞奖励计划高危缺陷的最高奖励.提交 ...
- 谷歌 Nest 和 Fitbit 漏洞奖励翻番
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,谷歌宣布称通过其漏洞奖励计划提交有效Nest 和 Fitbit 漏洞的安全研究员将收到是原来奖励2倍的赏金. 谷歌的Nest和 Fitb ...
- 1Password 将最高漏洞奖励调高至100万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 密码管理软件厂商1Password 宣布称,如有研究员可窃取机密则可获得最高100万美元的奖励. 最高奖励是该公司在 Bugcrowd 多年来运 ...
- 谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌表示提高对 Linux Kernel.Kubernetes.Google Kubernetes Engine (GKE) 或kCTF 漏洞报 ...
- SpaceX 推出星链奖励计划,最高赏金2.5万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SpaceX 表示,欢迎负责任的研究员入侵其卫星互联网网络星链(Starlink),并表示如发现特定类型的漏洞,则最高可获得2.5万美元的奖励. ...
最新文章
- c语言combine函数,combine
- CVPR 2021 | 基于稠密场景匹配的相机定位学习
- 那些常见的C++、Qt基础面试题
- 2异常处理_Java处理异常2种机制关键字区别解析
- 【java笔记】基本类型与字符串之间的转换
- 2020-09-02 微机原理与接口课程复习题
- 反转字符串---简单
- OpenCV用C画线代码示例
- codeforces 27 E. Number With The Given Amount Of Divisors(数论+dfs)
- P2P 终结者 IP雷达
- excel如何随机抽样
- raft-rs 示例程序源码解读
- CCPROXY漏洞利用
- 配置java win10_win10 Java14安装及配置
- 人工智能数学基础--导数2:高阶导数及莱布尼茨(Leibniz)公式
- iphone se 一代 不完美越狱 14.6 视频壁纸教程(踩坑笔记)
- 程序员做前端好还是做后台好?
- 第七章 本源时空(补充)
- 17.机器比人更需要通证
- 鉴于近期的自然灾害,WorldRemit免收向菲律宾汇款的费用