Elenco dei migliori programmi e siti Web Bug Bounty (aggiornamento gennaio 2025)
migliori programmi/aziende Bug Bounty
Di seguito è riportato un elenco curato di programmi Bounty di aziende rispettabili
1) Intel
Il programma di ricompensa di Intel si rivolge principalmente all'hardware, al firmware e al software dell'azienda.
limitazioni: Non include le recenti acquisizioni, l'infrastruttura web dell'azienda, i prodotti di terze parti o qualsiasi cosa relativa McAfee.
Pagamento minimo: Intel offre un importo minimo di $ 500 per la ricerca di bug nel proprio sistema.
Pagamento massimo: L'azienda paga un massimo di 30,000 dollari per il rilevamento di bug critici.
Collegamento alla ricompensa: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
Yahoo ha il suo team dedicato che accetta segnalazioni di vulnerabilità da ricercatori di sicurezza e hacker etici.
limitazioni: La Società non offre alcuna ricompensa per la ricerca di bug in yahoo.net, Yahoo 7 Yahoo Japan, Onwander e nei blog WordPress gestiti da Yahoo.
Pagamento minimo: Non esiste un limite fisso su Yahoo per il pagamento minimo.
Pagamento massimo: Yahoo può pagare $ 15000 per rilevare bug importanti nel proprio sistema.
Collegamento alla ricompensa:https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
Il team di sicurezza di Snapchat esamina tutti i rapporti sulle vulnerabilità e agisce di conseguenza mediante una divulgazione responsabile. L'azienda riconoscerà la tua presentazione entro 30 giorni.
Pagamento minimo: Snapchat pagherà un minimo di $ 2000.
Pagamento massimo: Il massimo che pagheranno è $ 15,000.
Collegamento alla ricompensa:https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco incoraggia gli individui o le organizzazioni che riscontrano un problema di sicurezza del prodotto a segnalarlo all'azienda.
Pagamento minimo: CiscoL'importo minimo di pagamento di è $ 100.
Pagamento massimo: L'azienda donerà un massimo di $ 2,500 alla ricerca di vulnerabilità gravi.
Collegamento alla ricompensa: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Dropbox Il programma Bounty consente ai ricercatori di sicurezza di segnalare bug e vulnerabilità sul servizio di terze parti HackerOne.
Pagamento minimo: L’importo minimo pagato è $ 12,167.
Pagamento massimo: L’importo massimo offerto è $ 32,768.
Collegamento alla ricompensa: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Mela
Quando Apple lanciò per la prima volta il suo programma bug bounty, consentì solo a 24 ricercatori di sicurezza. Il framework si è poi ampliato per includere più cacciatori di taglie.
L'azienda pagherà 100,000 dollari a coloro che riusciranno a estrarre i dati protetti dalla tecnologia Secure Enclave di Apple.
Pagamento minimo: Non esiste un importo limitato fissato da Apple Inc.
Pagamento massimo: La ricompensa più alta data da Apple è di 200,000 dollari per problemi di sicurezza che riguardano il suo firmware.
Collegamento alla ricompensa: https://support.apple.com/en-in/102549
7) Facebook
Grazie al programma bug bounty di Facebook, gli utenti possono segnalare un problema di sicurezza su Facebook, Instagram, Atlas, WhatsApp, ecc.
limitazioni: Ci sono alcuni problemi di sicurezza che la piattaforma di social networking considera fuori limite.
Pagamento minimo: Facebook pagherà un minimo di 500 dollari per una vulnerabilità rivelata.
Pagamento massimo: Non esiste un limite massimo fissato da Facebook per il pagamento.
Collegamento alla ricompensa: https://www.facebook.com/whitehat/
8) google
Tutti i contenuti presenti su .google.com, .blogger e youtube.com sono soggetti al programma di premi per le vulnerabilità di Google.
limitazioni: Questo programma di ricompensa copre solo i problemi di progettazione e implementazione.
Pagamento minimo: Google pagherà almeno $ 300 per trovare thread di sicurezza.
Pagamento massimo: Google pagherà la taglia più alta di $ 31.337 per le normali applicazioni Google.
Collegamento alla ricompensa: https://www.google.com/about/appsecurity/reward-program/
9) Quora
Quora offre il programma Bug Bounty a tutti gli utenti e ricercatori per trovare e segnalare vulnerabilità della sicurezza.
Pagamento minimo: Quora pagherà un minimo di $ 100 per trovare vulnerabilità sul proprio sito.
Pagamento massimo: Il pagamento massimo offerto da questo sito è di $ 7000.
Collegamento alla ricompensa: https://engineering.quora.com/Security-Bug-Bounty-Program
10)Mozilla
Mozilla premia le scoperte di vulnerabilità da parte di hacker etici e ricercatori di sicurezza.
limitazioni: La ricompensa è offerta solo per bug nei servizi Mozilla, come Firefox, Thunderbird e altre applicazioni e servizi correlati.
Pagamento minimo: Importo minimo dato da Firefox è di $ 500.
Pagamento massimo: La Società sta pagando un massimo di $ 5000.
Collegamento alla ricompensa: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
MicrosoftL'attuale programma Bug Bounty di è stato lanciato ufficialmente il 23 settembre 2014 e riguarda solo i servizi online.
limitazioni: La ricompensa viene assegnata solo per le vulnerabilità critiche e importanti.
Pagamento minimo: Microsoft pronto a pagare $ 15,000 per trovare bug critici.
Pagamento massimo: L’importo massimo può essere $ 250,000.
Collegamento alla ricompensa: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
OpenSSL bounty ti consente di segnalare vulnerabilità tramite posta elettronica sicura (chiave PGP). Puoi anche segnalare vulnerabilità al OpenSSL Comitato di gestione.
Pagamento minimo: La Società paga premi di ricompensa minimi di $ 500.
Pagamento massimo: L’importo massimo concesso dalla società è di $ 5000.
Collegamento alla ricompensa: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo accoglie con favore qualsiasi segnalazione di vulnerabilità della sicurezza nei propri prodotti poiché l'azienda paga buoni compensi a quella persona.
Pagamento minimo: La Società pagherà un minimo di $ 500
Pagamento massimo: L’importo massimo pagato da questa azienda è di $ 5000.
Collegamento alla ricompensa: https://vimeo.com/about/security
14) Apache
Apache incoraggia gli hacker etici a segnalare le vulnerabilità della sicurezza a una delle loro mailing list private sulla sicurezza.
Pagamento minimo: L'importo minimo di pagamento fornito da Apache è di $ 500.
Pagamento massimo: Questa azienda può dare una ricompensa massima di $ 3000.
Collegamento alla ricompensa: https://www.apache.org/security/
15) Twitter
Twitter consente a ricercatori ed esperti di sicurezza di conoscere possibili vulnerabilità della sicurezza nei loro servizi. L'azienda incoraggia le persone a trovare bug.
Pagamento minimo: Twitter sta pagando un importo minimo di $ 140.
Pagamento massimo: L'importo massimo pagato dall'azienda è di $ 15000.
Collegamento alla ricompensa: https://support.twitter.com/articles/477159
16) Avast
Avast Il programma Bounty premia gli hacker etici e i ricercatori sulla sicurezza che segnalano, tra gli altri problemi, l'esecuzione di codice remoto, l'escalation dei privilegi locali, il DOS, il bypass dello scanner.
Pagamento minimo: Avast può pagarti l'importo minimo di $ 400.
Pagamento massimo: L’importo massimo offerto dalla società è di $ 10,000.
Collegamento alla ricompensa: https://www.avast.com/bug-bounty
17) Paypal
Il servizio gateway di pagamento Paypal offre anche programmi di bug bounty per i ricercatori di sicurezza.
limitazioni:
Vulnerabilità dipendenti da tecniche di ingegneria sociale, Intestazione host
Denial of service (DOS), payload definito dall'utente, spoofing dei contenuti senza collegamenti/HTM incorporati e vulnerabilità che richiedono un dispositivo mobile con jailbreak, ecc.
Pagamento minimo: Paypal può pagare un minimo di $ 50 per individuare vulnerabilità di sicurezza nel proprio sistema.
Pagamento massimo: L'importo massimo di pagamento concesso da Paypal è $ 10000.
Collegamento alla ricompensa: https://hackerone.com/paypal
18) GitHub
GitHub esegue il programma bug bounty dal 2013. Ogni partecipante di successo ha guadagnato punti per le proprie vulnerabilità inviate a seconda della gravità.
Limitazione:
Il ricercatore di sicurezza riceverà quella ricompensa solo se rispetterà i dati degli utenti e non sfrutterà alcun problema per produrre un attacco che potrebbe danneggiare l'integrità dei servizi o delle informazioni di GitHub.
Pagamento minimo: Github paga un importo minimo di $ 200 per la ricerca di bug.
Pagamento massimo: Github può pagare $ 10000 per trovare bug critici.
Collegamento alla ricompensa: https://bounty.github.com/
19) Uber
Il programma di premi per la vulnerabilità di Uber si è concentrato principalmente sulla protezione dei dati degli utenti e dei suoi dipendenti.
Pagamento minimo: Non esiste un importo minimo predeterminato.
Pagamento massimo: Uber ti pagherà $ 10,000 per aver trovato problemi di bug critici.
Collegamento alla ricompensa: https://eng.uber.com/bug-bounty-map/
20)Magento
Il programma di ricompensa Magneto ti consente di segnalare vulnerabilità di sicurezza nel software o nei siti Web Magneto.
limitazioni:
Seguire la ricerca sulla sicurezza non è idoneo per la ricompensa
- Potenziale o effettiva negazione del servizio di applicazioni e sistemi Magento.
- Utilizzo di un exploit per visualizzare dati senza autorizzazione.
- Test automatizzati/con script di moduli web
Pagamento minimo: L'importo minimo di pagamento per questo programma di ricompensa è di $ 100.
Pagamento massimo: Magento paga un massimo di $ 10,000 per la ricerca di bug critici.
Collegamento alla ricompensa: https://magento.com/security
21) Perla
Perl esegue anche programmi di ricompensa dei bug. Se qualcuno trova una vulnerabilità di sicurezza in Perl, può contattare l'azienda.
Pagamento minimo: La Società paga un importo minimo di $ 500.
Pagamento massimo: L'importo più alto dato da Perl è $ 1500.
Collegamento alla ricompensa: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP consente agli hacker etici di trovare un bug nel loro sito.
limitazioni: È necessario controllare l'elenco dei bug già rilevati. Se non segui queste istruzioni il tuo bug non verrà considerato.
Pagamento minimo: L'importo minimo del pagamento è $ 500.
Pagamento massimo: PHP eroga un premio massimo di 1500 $ per la ricerca di bug importanti.
Collegamento alla ricompensa: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
Starbucks esegue il programma Bug Bounty per proteggere i propri clienti. Incoraggiano a individuare attività dannose nelle politiche delle loro reti, web e applicazioni mobili.
Pagamento minimo: L'importo minimo pagato da Starbucks è di $ 100.
Pagamento massimo: L’importo massimo arriva fino a $ 4000.
Collegamento alla ricompensa: https://www.starbucks.com/whitehat
24) AT&T
AT&T ha anche il suo canale di caccia ai bug. Gli sviluppatori e gli esperti di sicurezza possono effettuare ricerche sulle varie piattaforme come siti Web, API e applicazioni mobili.
Pagamento minimo: L'importo minimo pagato da loro è $ 500.
Pagamento massimo: Non esiste un limite massimo per il pagamento.
Collegamento alla ricompensa: https://hackerone.com/att?type=team
25) Linkedin
LinkedIn accoglie i singoli ricercatori che contribuiscono con la loro esperienza e il loro tempo per trovare bug.
L’azienda ti ricompenserà, ma né l’importo minimo né quello massimo sono una soluzione per questo scopo.
Collegamento alla ricompensa: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Pagamento
Paytm invita gruppi di sicurezza indipendenti o singoli ricercatori a studiarlo su tutte le piattaforme
limitazioni:
- Rapporti che affermano che il software non è aggiornato/vulnerabile senza una "prova di concetto".
- Problemi XSS che interessano solo i browser obsoleti.
- Tracce dello stack che rivelano informazioni.
- Eventuali problemi di frode
Pagamento minimo: La Società pagherà un minimo di $ 15 per la ricerca di bug.
Pagamento massimo: Questa azienda non fissa il limite massimo.
Collegamento alla ricompensa: https://paytm.com/offer/bug-bounty/
27) Shopify:
Shopify di Il programma Whitehat premia i ricercatori nel campo della sicurezza per aver individuato casi gravi vulnerabilità di sicurezza
Pagamento minimo: L'importo minimo pagato da Shopify è $ 500.
Pagamento massimo: Non esiste un limite massimo fisso per il pagamento della taglia.
Collegamento alla ricompensa: https://www.shopify.in/whitehat
28) WordPress
WordPress invita inoltre i ricercatori sulla sicurezza a segnalare i bug che hanno riscontrato.
Pagamento minimo: WordPress paga un minimo di $ 150 per segnalare bug sul proprio sito.
Pagamento massimo: La Società non fissa un limite massimo al pagamento a titolo di premio.
Collegamento alla ricompensa: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
Zomato aiuta i ricercatori di sicurezza a identificare i problemi relativi alla sicurezza con il sito Web o le app dell'azienda.
Pagamento minimo: Zomato pagherà un minimo di $ 1000 per la ricerca di bug importanti.
Pagamento massimo: Non esiste un importo massimo per la correzione.
Collegamento alla ricompensa: https://www.zomato.com/policies/security/
30) Progetto Tor
Il programma bug bounty di Tor Project copre due dei suoi servizi principali: il demone di rete e il browser.
Limitazione: OpenSSL le applicazioni sono escluse da questo ambito.
Pagamento minimo: L’importo minimo pagato da loro è di $ 100.
Pagamento massimo: La Società ti pagherà un massimo di $ 4000.
(Nessun collegamento disponibile) Collegamento premio: security@lists.torproject.org
31) Hackerone
HackerOne è una delle più grandi piattaforme di coordinamento delle vulnerabilità e di bug bounty. Aiuta le aziende a proteggere i dati dei propri consumatori collaborando con la comunità di ricerca globale per individuare i problemi di sicurezza più rilevanti. Molte aziende conosciute come Yahoo, Shopify, PHP, Google, Snapchat e Wink stanno sfruttando il servizio di questo sito Web per offrire una ricompensa ai ricercatori di sicurezza e agli hacker etici.
Collegamento alla ricompensa: https://hackerone.com/bug-bounty-programs
32) Folla di insetti
Una potente piattaforma che collega la comunità globale di ricercatori sulla sicurezza al mercato della sicurezza. Questo sito mira a fornire ai propri clienti in tutto il mondo il giusto mix e il tipo di ricercatore adatto in base al sito Web specifico. Gli hacker devono solo selezionare i loro rapporti su questo sito e, se riescono a rilevare i bug corretti, la società specifica pagherà l'importo a quella persona.
Collegamento alla ricompensa: https://www.bugcrowd.com/bug-bounty-list/