0.6 关于漏洞赏金范围的说明

倘若读者期望在专业层面涉足黑客领域,成为一名漏洞赏金猎人无疑是最佳的入门途径。BugCrowd与HackerOne等机构构建了相应平台,使得任何人都能轻易创建账户并着手开展漏洞挖掘工作。同时,众多企业也自行运营漏洞赏金计划,其中包括谷歌、微软、苹果、Twitter和GitHub等知名公司。这些计划中包含大量的API漏洞赏金,部分甚至还提供额外的奖励。以BugCrowd托管的Files.com漏洞赏金计划为例,其中便包括API专属的奖励,如图0-2所示。

图0-2 漏洞赏金计划包括API专属的奖励

在漏洞赏金计划中,参与者需关注两份合约:漏洞赏金提供商的服务条款和计划的范围。违反任一合约均可能被禁止参与漏洞赏金计划,甚至引发法律纠纷。服务条款中详细阐述了关于赏金获取、漏洞报告以及参与者(包括提供商、测试人员、研究人员及黑客)之间的关系等重要事项。而范围部分则明确了目标API、描述、奖励金额、参与规则、报告要求及限制等内容。

针对API漏洞赏金,范围通常包括API文档或文档链接。表0-1整理了在进行测试前需关注的一些主要漏洞赏金考量因素。

表0-1 漏洞赏金考量因素

图片表格

在你投入时间和精力之前,务必了解不同类型漏洞所能获得的潜在奖励(如果有的话)。举例来说,我曾目睹有人因有效利用速率限制而获得漏洞赏金,但漏洞赏金提供方却将其视为垃圾信息。因此,查阅过去的披露提交信息,了解组织对峙是否具有对抗性或不愿支付看似有效的漏洞赏金。同时,重点关注成功获得赏金的漏洞信息,思考漏洞猎人提交了何种证据以及他们如何报告发现的证据,以便组织能轻易确认漏洞的有效性。