成為 IT 界的償金獵人 「秘撈」發掘漏洞賺第一桶金

相信很多「打工一族」一有機會便會從事「秘撈」,希望從中賺取更多收入!然而一般被稱為「炒散」的工作,很多時起薪點都會較低,因此極其量只可賺回每月的飯錢,要發掘第一桶金是絕對沒有可能。但對於從事資安行業的「打工一族」,情況便不一樣!

其實現時網絡攻擊每秒都在發生,每半年或數月又會出現一次大規模的資安事件,因此從事資安行業比一般的 IT 職位而言,已是較有「錢途」!而假如你本身是從事資安工作,在閒時更喜歡研究一下各種駭客工具或系統漏洞的話,其實「秘撈」絕對能助你賺取第一桶金!

發掘漏洞

現時很多廠商都會定時向各位白客「招手」,希望借助他們的力量以發現廠商所開發的產品之中的種種漏洞!例如 Kaspersky、Google、Microsoft 等都設有不同的漏洞舉報機制,以獎勵那些發現漏洞或能完成指定目標的白客。

有那些獎勵計劃?獎金如何?

其實大家只要以「bounty」一字進行搜尋的話,便會找到很多這類型的獎勵計劃,以下便列出三個最知名的品牌以及她們的獎勵計劃:

1. Microsoft

Microsoft 由於是最多人使用的系統,因此多年來深受駭客以及漏洞的困擾。可能因為這個原因,Microsoft 的漏洞獎勵可以說是最豐厚的。就網頁的資料看來,Bounty for Defense 這計劃的獎金便可高達 USD 100,000.00。

除了 Bounty for Defense 之外,Microsoft 亦有多個不同的獎勵計劃,而這些計劃亦會不停更新,截稿時的最新計劃包括:Microsoft Office Insider Bug Bounty Program Terms、Microsoft .NET Core and ASP.NET Core Bug Bounty Program Terms、Microsoft Edge RCE on Windows Insider Preview Bug Bounty、Online Services Bug Bounty (O365)、Online Services Bug Bounty (Azure)、Mitigation Bypass Bounty 以及 Bounty for Defense。

獎金:USD 11,000.00 – USD 100,000.00 (網址)

2. Google

Google 在很多年前已有推出針對旗下產品的漏洞獎勵計劃,而效果亦相當不錯,以往亦曾經有漏洞是通過 Google 的漏洞獎勵計劃而得悉的。現時 Google 正為旗下包括 *.google.com、*.youtube.com、*.blogger.com 舉辦漏洞獎勵測試,當中測試者不能採用駭客工具或任何 DoS 或 DDoS 攻擊的方式以作為測試的一部份;Google 亦建議用户向指定進行測試,以便符合 Google 漏洞測試獎勵的要求

另外,任何 Google 的第三方合作伙伴以及被收購回來且並未超過 6 個月的所有平台、軟件或硬件,當中所發現的漏洞均不被認可。

獎金:USD 100.00 – USD 31,337.00 (網址)

3. Kaspersky Lab

作為資安廠商的 Kaspersky Lab,她們亦希望大家測試旗下產品,包括:Kaspersky Internet Security 2017、Kaspersky Endpoint Security 10 SP1MR3 及 Kaspersky Password Manager 8,並以這三套方案所發現的漏洞作為漏洞獎勵的項目,當中最主要希望用户在 Windows 8.1 或以上的系統之中執行有關軟件,並發現當中的漏洞。

漏洞的類別可分為:本地權限問題(平均獎金 USD 1,000)、取得用戶數據(如密碼和其他敏感資料)(平均獎金 USD 2,000)、遠程執行代碼(平均獎金 USD 5,000)

獎金:USD 300.00 – USD 5,000.00 (網址)

總結

看過以上簡介後,有否突然之間覺得原來「IT 秘撈」可以這樣「好搵」呢!不過要找到漏洞並非易事!你必需先對程式的流程有十分深入的了解,同時亦需要花時間進行 Lab Test,完成後更需要處理相關的 Paper Work 以便向廠商提交一份符合要求的報告!當你解決了一切問題後,廠商亦會需要進行認證,以確認漏洞的存在,最後才是漫長的支付過程!

不過在外國其實真的有資安組織是專門以償金獵人的方式(即替不同的廠商發掘漏洞)營運的,如果你本身對這方面有興趣的話,不妨花上一些時間多多研究,說不定將會成為新的發展方向!