2020 年排名前 30 的 Bug 赏金计划 · Guru99 中文系列教程

# 2020 年排名前 30 的 Bug 赏金计划 > 原文： [https://www.guru99.com/bug-bounty-programs.html](https://www.guru99.com/bug-bounty-programs.html) 以下是知名公司精选的赏金计划清单 ### 1）英特尔英特尔的赏金计划主要针对公司的硬件，固件和软件。 **局限性**：它不包括最近的收购，公司的 Web 基础设施，第三方产品或与 McAfee 相关的任何内容。 **最低付款额**：英特尔为查找系统中的错误提供了$ 500 的最低金额。 **最大赔付**：公司为检测严重错误支付的最高赔付额为$ 30,000。 **赏金链接**： [https://security-center.intel.com/BugBountyProgram.aspx](https://www.intel.com/content/www/us/en/security-center/default.html) ### 2）雅虎雅虎拥有一支专门的团队，可以接受来自安全研究人员和道德黑客的漏洞报告。 **局限性**：公司不对在 yahoo.net，Yahoo 7 Yahoo Japan，Onwander 和 Yahoo 经营的 Word 新闻博客中发现错误提供任何奖励。 **最低支出**：雅虎没有最低支出的设定限制。 **最大支出**：雅虎可以支付$ 15000 来检测系统中的重要错误。 **赏金链接**： [https://safety.yahoo.com/Security/REPORTING-ISSUES.html](https://safety.yahoo.com/Security/REPORTING-ISSUES.html) ### 3）Snapchat Snapchat 安全团队将审查所有漏洞报告，并通过负责任的披露采取行动。公司，我们将在 30 天内确认您的提交。 **Minimum Payout**： Snapchat 会最低支付$ 2000。 **最高支出**：他们将支付的最高金额为$ 15,000。 **赏金链接**： [https://support.snapchat.com/zh-CN/i-need-help](https://support.snapchat.com/en-US/i-need-help) ### 4）思科思科鼓励遇到产品安全问题的个人或组织向公司报告。 **最低支出**：思科的最低支出为$ 100。 **最大赔付**：公司将为发现严重漏洞提供最高$ 2,500 的赔偿。 **赏金链接**： [https://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html](https://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html) ### 5）投寄箱 Dropbox 赏金计划允许安全研究人员报告第三方服务 HackerOne 上的错误和漏洞。 **最低付款额**：最低付款额为$ 12,167。 **最高支出**：提供的最高金额为$ 32,768。 **赏金链接**： [https://www.dropbox.com/help/security/report-vulnerability](https://www.dropbox.com/help/security/report-vulnerability) ### 6）苹果苹果公司首次启动其漏洞赏金计划时，只允许 24 名安全研究人员使用。然后，该框架扩展为包括更多的漏洞赏金猎人。该公司将向那些能够提取受 Apple Secure Enclave 技术保护的数据的人支付 100,000 美元。 **最低付款额**： Apple Inc.没有固定金额的限制。 **最高赔付**：对于因影响其固件的安全性问题，Apple 给予的最高赏金为 200,000 美元。 **赏金链接**： [https://support.apple.com/zh-CN/HT201220](https://support.apple.com/en-au/HT201220) ### 7）Facebook 根据 Facebook 的漏洞赏金计划，用户可以在 Facebook，Instagram，Atlas，WhatsApp 等上报告安全问题。 **局限性**：社交网络平台认为存在一些安全问题。 **最低支出**： Facebook 将为已披露的漏洞支付至少 500 美元。 **最高支出**： Facebook 没有为支出设定上限。 **赏金链接**： [https://www.facebook.com/whitehat/](https://www.facebook.com/whitehat/) ### 8）谷歌 .google.com，.blogger 和 youtube.com 中的所有内容均已针对 Google 的漏洞奖励计划开放。 **局限性**：此赏金计划仅涵盖设计和实施问题。 **最低付款**： Google 将为寻找安全线程至少支付 300 美元。 **最高付款额**：对于正常的 Google 应用程序，Google 会支付最高的悬赏$ 31.337。 **赏金链接**： [https://www.google.com/about/appsecurity/reward-program/](https://www.google.com/about/appsecurity/reward-program/) ### 9）Quora Quora 向所有用户和研究人员提供 Bug Bounty 程序，以查找和报告安全漏洞。 **最低付款**： Quora 将为在其网站上发现漏洞支付最低 100 美元。 **最高支出**：此网站提供的最高支出为$ 7000。 **赏金链接**： https://engineering.quora.com/Security-Bug-Bounty-Program ### 10）Mozilla Mozilla 奖励道德黑客和安全研究人员发现漏洞。 **限制**：仅针对 Mozilla 服务中的错误提供赏金，例如 Firefox，Thunderbird 和其他相关应用程序和服务。 **最低支出**： Firefox 给出的最低金额为$ 500。 **最高付款额**：公司最多支付$ 5000。 **赏金链接**： [https://www.mozilla.org/zh-CN/security/bug-bounty/](https://www.mozilla.org/en-US/security/bug-bounty/) ### 11）微软 Microsoft 当前的漏洞赏金计划于 2014 年 9 月 23 日正式启动，仅与 Online Services 交易。 **局限性**：仅针对严重和重要漏洞提供赏金。 **最低付款额**：微软准备为发现关键错误支付$ 15,000。 **最大支出**：最大金额可以为$ 250,000。 **赏金链接**： [https://technet.microsoft.com/zh-CN/library/dn425036.aspx](https://technet.microsoft.com/en-us/library/dn425036.aspx) ### 12）OpenSSL 的 OpenSSL 赏金允许您使用安全电子邮件（PGP 密钥）报告漏洞。您还可以向 OpenSSL 管理委员会报告漏洞。 **最低支出**：公司支付的最低赏金为$ 500。 **最大支出**：公司提供的最高金额为$ 5000。 **赏金链接**： [https://www.openssl.org/news/vulnerabilities.html](https://www.openssl.org/news/vulnerabilities.html) ### 13）Vimeo Vimeo 欢迎其产品中的任何安全漏洞报告，因为该公司对该人给予了很好的奖励。 **最低付款**：公司将支付最低$ 500 **最大支出**：该公司支付的最高金额为$ 5000。 **赏金链接**： [https://vimeo.com/about/security](https://vimeo.com/about/security) ### 14）阿帕奇 Apache 鼓励有道德的黑客向他们的私人安全邮件列表之一报告安全漏洞。 **最低支出**： Apache 给出的最低支出为$ 500。 **最高支出**：该公司最高可提供$ 3000 的奖励。 **赏金链接**： [https://www.apache.org/security/](https://www.apache.org/security/) ### 15）推特 Twitter 允许安全研究人员和专家了解其服务中可能存在的安全漏洞。该公司鼓励人们发现错误。 **最低付款额**： Twitter 支付的最低金额为$ 140。 **最大支出**：公司支付的最高金额为$ 15000。 **赏金链接**： [https://support.twitter.com/articles/477159](https://support.twitter.com/articles/477159) ### 16）阿瓦斯特 Avast 赏金计划奖励道德的黑客和安全研究人员，以报告远程执行代码，本地特权提升，DOS，扫描程序绕过等问题。 **最低付款**： Avast 可以向您支付最低$ 400 的款项。 **最高支出**：公司提供的最高金额为$ 10,000。 **赏金链接**： [https://www.avast.com/bug-bounty](https://www.avast.com/bug-bounty) ### 17）贝宝支付网关服务 Paypal 还为安全研究人员提供了漏洞赏金计划。 **局限性**：漏洞取决于社会工程学技术，主机头拒绝服务（DOS），用户定义的有效负载，不带嵌入式链接/ HTM 的内容欺骗和需要越狱的移动设备的漏洞等。 **最低支出**： Paypal 可以为发现其系统中的安全漏洞至少支付 50 美元。 **最高支出**： Paypal 给出的最高支出金额为$ 10000。 **赏金链接**： [https://www.paypal.com/us/webapps/mpp/security-tools/reporting-security-issues](https://www.paypal.com/us/webapps/mpp/security-tools/reporting-security-issues) ### 18）GitHub GitHub 从 2013 年开始运行漏洞赏金计划。根据漏洞的严重程度，每位成功的参与者均可为其漏洞提交获得积分。 **局限性**：仅当安全研究人员尊重用户的数据并且不利用任何问题来产生可能损害 GitHub 服务或信息完整性的攻击时，安全研究人员才能获得该赏金。 **最低付款额**： Github 会为发现错误支付至少 200 美元的费用。 **最大支出**： Github 可以为发现严重错误支付 10000 美元。 **赏金链接**： [https://bounty.github.com/](https://bounty.github.com/) ### 19）优步 Uber 的漏洞奖励计划主要致力于保护用户及其员工的数据。 **最低支出**：没有预定的最低金额。 **最高付款额**： Uber 将向您支付 10,000 美元，以查找严重的错误问题。 **赏金链接**： [https://eng.uber.com/bug-bounty/](https://eng.uber.com/bug-bounty/) ### 20）Magento Magneto 赏金计划可让您报告 Magneto 软件或网站中的安全漏洞。 **Limitations:** **进行安全性研究后，没有资格获得赏金** * Magento 应用程序和系统的潜在或实际拒绝服务。 * 未经授权使用漏洞利用来查看数据。 * Web 表单的自动化/脚本测试 **最低支出**：此赏金计划的最低支出为$ 100。 **最高付款额**： Magento 为查找严重错误最多支付$ 10,000。 **赏金链接**： [https://magento.com/security](https://magento.com/security) ### 21）Perl Perl 也在运行错误赏金计划。如果有人在 Perl 中发现了安全漏洞，则可以与公司联系。 **最低付款额**：公司支付的最低金额为$ 500。 **最大支出**： Perl 给出的最高金额为$ 1500。 **赏金链接**： [http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION](http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION) ### 22）PHP PHP 使道德的黑客可以在其站点中找到错误。 **局限性**：您需要检查已发现错误的列表。如果您不遵循此说明，则不会考虑您的错误。 **最高支出**：最低支出为$ 500。 **最低支出**： PHP 最高$ 1500 用于搜索重要的错误。 **赏金链接**： [https://bugs.php.net/report.php?bug_type=安全性](https://bugs.php.net/report.php?bug_type=Security) ### 23）星巴克星巴克运行 Bug 赏金计划以保护其客户。他们鼓励在其网络，Web 和移动应用程序策略中发现恶意活动。 **最低支出**：星巴克支付的最低金额$ 100。 **最大支出**：最大金额达到$ 4000。 **赏金链接**： [https://www.starbucks.com/whitehat](https://www.starbucks.com/whitehat) ### 24）AT & T AT & T 也有其错误搜寻通道。开发人员和安全专家可以研究各种平台，例如网站，API 和移动应用程序。 **最低支出**：他们支付的最低金额为$ 500。 **最大支出**：没有这样的支出上限。 **赏金链接**： [https://bugbounty.att.com/home.php](https://bugbounty.att.com/home.php) ### 25）领英 LinkedIn 欢迎个人研究人员贡献自己的专业知识和时间来发现错误。该公司将奖励您，但为此目的确定的最低或最高金额都不可行。 **赏金链接**： [https://security.linkedin.com/posts/2015/private-bug-bounty-program](https://security.linkedin.com/posts/2015/private-bug-bounty-program) ### 26）Paytm Paytm 邀请独立安全小组或个人研究人员跨所有平台进行研究 **Limitations:** * 报告指出，如果没有“概念验证”，该软件已过期/容易受到攻击。 * 仅影响过时的浏览器的 XSS 问题。 * 公开信息的堆栈跟踪。 * 任何欺诈问题 **最低付款额**：公司将为发现错误的最低费用为$ 15。 **最高付款额**：该公司未确定上限。 **赏金链接**： [https://paytm.com/offer/bug-bounty/](https://paytm.com/offer/bug-bounty/) ### 27）Shopify Shopify 的 Whitehat 计划奖励发现严重安全漏洞的安全研究人员 **最低付款额**： Shopify 支付的最低金额为$ 500。 **最高支出**：支付赏金没有固定上限。 **赏金链接**： [https://www.shopify.in/whitehat](https://www.shopify.in/whitehat) ### 28）文字新闻 WordPress 还欢迎安全研究人员报告他们发现的错误。 **最低付款额**： WordPress 只需最低$ 150 即可报告其网站上的错误。 **最高付款额**：公司未设定最高额度作为赏金支付。 **赏金链接**： [https://make.wordpress.org/core/handbook/testing/reporting-bugs/](https://make.wordpress.org/core/handbook/testing/reporting-bugs/) ### 29）佐马托 Zomato 帮助安全研究人员确定公司网站或应用程序中与安全相关的问题。 **最低付款额**： Zomato 将为发现重要漏洞支付最低$ 1000。 **最大支出**：没有最大固定金额。 **赏金链接**： [https://www.zomato.com/security](https://www.zomato.com/security) ### 30）Tor 项目 Tor Project 的错误赏金计划涵盖其两项核心服务：网络守护程序和浏览器。 **限制**： OpenSSL 应用程序不属于此范围。 **最低付款额**：他们支付的最低金额为$ 100。 **最高付款额**：公司将向您支付最高$ 4000。 **（无可用链接）赏金链接**：此电子邮件地址已受到防止垃圾邮件机器人的保护。您需要启用 JavaScript 才能查看它。 ### 31）哈克龙 HackerOne 是最大的漏洞协调和漏洞赏金平台之一。它通过与全球研究界合作以发现最相关的安全问题，帮助公司保护其消费者数据。雅虎（Yahoo），Shopify，PHP，Google，Snapchat 和 Wink 等许多知名公司正在利用该网站的服务来奖励安全研究人员和道德黑客。 **赏金链接**： [https://hackerone.com/bug-bounty-programs](https://hackerone.com/bug-bounty-programs) ### 32）Bugcrowd 连接全球安全研究人员社区与安全市场的强大平台。该网站旨在根据其特定网站向其全球客户提供合适的研究人员和类型。黑客只需要在此站点上选择他们的报告，如果他们能够检测到正确的错误，则特定的公司将向该人支付这笔款项。 **赏金链接**： [https://www.bugcrowd.com/bug-bounty-list/](https://www.bugcrowd.com/bug-bounty-list/)