去年发生了这样一件趣事:有一程序员,去年发现他在 Facebook 上可以删除任何人的照片,于是报告给了 Facebook 有关部门,然有关部门回复说,这个是无效的 bug (invalid report)。于是,该程序猿回家后就清空了扎克伯格的照片集,然后有关部门通知他说,你这个是有效 bug,可以来领奖金了。

找 Bug 拿奖金?的确如此。硅谷很多大公司都有项目鼓励用户报告他们发现的 Bug,最近奇虎 360 和腾讯的两位员工已经分别拿到了微软的 1 万和 4.5 万奖金。以下是部分“大家来找茬”项目:

#1 Facebook bug bounty
Facebook 在 2014 年共收到 17011 个 bug 报告,共颁发了 130 万美金给全球 65 个国家的 321 名提交者,其中 61 个 bug 被认为高危漏洞。Facebook 对每一个有效 bug 的最低赏金是 500 美元,并根据 bug 的危险程度增加奖励金额。2014 年的获得奖金最多的 5 个人,共拿走了近 26 万美金 ($256,750)。

#2 Google Bughunter University

Google Bughunter University (谷歌找茬大学)给出了详细的找 bug 分级指导和相应的赏金,如下图。有效 bug 奖励 100 美元至 2 万美元不等,危险性越高的 bug 获得的赏金越多。从图中可以看出,谷歌重点鼓励的还是技术含量高的可以从远程成功实施的对谷歌账户和应用的攻击,赏金为 2 万美元/bug。


下图是 2014 年全球提交的 bug 统计。虽然有很多提交者打了酱油(绿色部分),但高危的漏洞也不少:


这是各级别的奖励总额统计图,纵轴是奖励级别,横轴是金额:

虽然 Google 没有公布总共发了多少钱出去,不过从上图来看,似乎拿到 1 万和 2 万美元奖金的人不多啊,是因为 Google 觉得自己的 Bug 比 Facebook 少吗?不知道前几天发生的“谷歌一不小心把 Google.com 域名给卖了,售价为 12 美元”这个 Bug 的发现者能获得多少奖金……

#3 Microsoft Bounty Programs

微软公司的大家来找茬项目叫做 Microsoft Bounty Program,自 2013 成立以来已经发放了 50+ 万奖金。微软把获奖者的名单也公布了出来,并且按类别做了区分。这个目前有三个子项目,分别是 (1) Online Services Bug Bounty,有效 bug 奖励 500 至 1.5 万美元。(2) Mitigation Bypass Bounty,真的有效的 bug 奖励封顶金额为 10 万美元。(3) Bounty for Defense,同样,真的有效的 bug 奖励封顶金额为 10 万美元,像国内网络安全大佬、“妇科圣手”@tombkeeper 就拿到过微软的 10 万元奖金。

我们看下都谁拿到了奖金呢?下图是微软网站上公布的部分获奖名单。

Mitigation Bypass 的奖金真的不菲,HP 有团队(HP)拿走了 12.5 万美元的奖金,国内安全公司绿盟(NSFOCUS)也有不少收获,Google 有两位分别拿走了 2.5 万美金。然后我们发现,@tombkeeper 在跳槽腾讯后又拿了 4.5 万美元的奖金,不愧是获奖专业户…

程序猿们,找 Bug 也可以致富,你还等什么呢?

余下全文(1/3)
分享这篇文章:

请关注我们:

发表评论

邮箱地址不会被公开。 必填项已用*标注