Список TOP Bug Bounty программ и веб-сайтов (обновление от декабря 2024 г.)
лучшие программы/компании Bug Bounty
Ниже приведен тщательно подобранный список баунти-программ от авторитетных компаний.
1) Интел
Программа вознаграждений Intel в основном нацелена на аппаратное обеспечение, встроенное и программное обеспечение компании.
Ограничения: Сюда не входят недавние приобретения, веб-инфраструктура компании, сторонние продукты или что-либо, связанное с McAfee.
Минимальная выплата: Intel предлагает минимальную сумму в 500 долларов за поиск ошибок в их системе.
Максимальная выплата: Компания платит максимум 30,000 XNUMX долларов США за обнаружение критических ошибок.
Бонусная ссылка: https://security-center.intel.com/BugBountyProgram.aspx
2) Яху
У Yahoo есть специальная команда, которая принимает отчеты об уязвимостях от исследователей безопасности и этических хакеров.
Ограничения: Компания не предлагает никакого вознаграждения за обнаружение ошибок в блогах WordPress на yahoo.net, Yahoo 7, Yahoo Japan, Onwander и Yahoo.
Минимальная выплата: На Yahoo не существует установленного ограничения на минимальную выплату.
Максимальная выплата: Yahoo может заплатить 15000 XNUMX долларов за обнаружение важных ошибок в своей системе.
Бонусная ссылка:https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Снэпчат
Команда безопасности Snapchat просматривает все отчеты об уязвимостях и действует в соответствии с ними, ответственно раскрывая информацию. Компания, мы подтвердим вашу заявку в течение 30 дней.
Минимальная выплата: Snapchat заплатит минимум 2000 долларов.
Максимальная выплата: Максимум, что они заплатят, — 15,000 XNUMX долларов.
Бонусная ссылка:https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco призывает отдельных лиц или организации, у которых возникают проблемы с безопасностью продукта, сообщать о них компании.
Минимальная выплата: CiscoМинимальная сумма выплаты составляет 100 долларов США.
Максимальная выплата: Компания выделит максимум $2,500 на поиск серьезных уязвимостей.
Бонусная ссылка: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Dropbox Программа вознаграждений позволяет исследователям безопасности сообщать об ошибках и уязвимостях в стороннем сервисе HackerOne.
Минимальная выплата: Минимальная выплачиваемая сумма составляет 12,167 XNUMX долларов США.
Максимальная выплата: Максимальная предлагаемая сумма составляет 32,768 XNUMX долларов США.
Бонусная ссылка: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Яблоко
Когда Apple впервые запустила свою программу вознаграждений за обнаружение ошибок, к ней было допущено всего 24 исследователя безопасности. Затем структура расширилась и включила в себя больше охотников за ошибками.
Компания заплатит 100,000 XNUMX долларов тем, кто сможет извлечь данные, защищенные технологией Apple Secure Enclave.
Минимальная выплата: Apple Inc не устанавливает никаких ограничений по сумме.
Максимальная выплата: Самая высокая награда, назначенная Apple, составляет 200,000 XNUMX долларов США за проблемы безопасности, затрагивающие ее прошивку.
Бонусная ссылка: https://support.apple.com/en-in/102549
7) Facebook
В рамках программы вознаграждения за ошибки Facebook пользователи могут сообщить о проблеме безопасности в Facebook, Instagram, Atlas, WhatsApp и т. д.
Ограничения: Есть несколько проблем безопасности, которые платформа социальных сетей считает недоступными.
Минимальная выплата: Facebook заплатит минимум 500 долларов за обнаруженную уязвимость.
Максимальная выплата: Facebook не устанавливает верхнего предела для выплаты.
Бонусная ссылка: https://www.facebook.com/whitehat/
8) Гугл
Каждый контент на сайтах .google.com, .blogger и youtube.com открыт для участия в программе вознаграждений Google за уязвимости.
Ограничения: Эта программа вознаграждений охватывает только вопросы проектирования и реализации.
Минимальная выплата: Google заплатит минимум 300 долларов за поиск потоков безопасности.
Максимальная выплата: Google заплатит самую высокую награду в размере 31.337 долларов США за обычные приложения Google.
Бонусная ссылка: https://www.google.com/about/appsecurity/reward-program/
9) Квора
Quora предлагает всем пользователям и исследователям программу Bug Bounty, позволяющую находить и сообщать об уязвимостях безопасности.
Минимальная выплата: Quora заплатит минимум 100 долларов за обнаружение уязвимостей на своем сайте.
Максимальная выплата: Максимальная выплата, предлагаемая этим сайтом, составляет 7000 долларов США.
Бонусная ссылка: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Мозилла
Mozilla вознаграждает за обнаружение уязвимостей этическим хакерами и исследователями безопасности.
Ограничения: Вознаграждение предлагается только за ошибки в сервисах Mozilla, таких как Firefox, Thunderbird и другие связанные приложения и услуги.
Минимальная выплата: Минимальная сумма, указанная Firefox составляет $ 500.
Максимальная выплата: Компания платит максимум 5000 долларов США.
Бонусная ссылка: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
MicrosoftТекущая программа вознаграждения за обнаружение ошибок была официально запущена 23 сентября 2014 года и касается только онлайн-сервисов.
Ограничения: Вознаграждение выдается только за критические и важные уязвимости.
Минимальная выплата: Microsoft готов заплатить $15,000 XNUMX за обнаружение критических ошибок.
Максимальная выплата: Максимальная сумма может составлять $250,000 XNUMX.
Бонусная ссылка: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
OpenSSL Bounty позволяет вам сообщать об уязвимостях, используя защищенную электронную почту (PGP Key). Вы также можете сообщать об уязвимостях в OpenSSL Управляющий комитет.
Минимальная выплата: Компания выплачивает минимальное вознаграждение в размере 500 долларов США.
Максимальная выплата: Максимальная сумма, предоставленная компанией, составляет 5000 долларов США.
Бонусная ссылка: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo приветствует любые сообщения об уязвимостях безопасности в своих продуктах, поскольку компания платит этому человеку хорошее вознаграждение.
Минимальная выплата: Компания заплатит минимум 500 долларов США.
Максимальная выплата: Максимальная сумма, выплачиваемая этой компанией, составляет 5000 долларов США.
Бонусная ссылка: https://vimeo.com/about/security
14) Апач
Apache призывает этических хакеров сообщать об уязвимостях безопасности в один из своих списков рассылки по частной безопасности.
Минимальная выплата: Минимальная сумма выплаты, предоставляемая Apache, составляет 500 долларов США.
Максимальная выплата: Эта компания может дать максимальное вознаграждение в размере 3000 долларов США.
Бонусная ссылка: https://www.apache.org/security/
15) Twitter
Twitter сообщает исследователям безопасности и экспертам о возможных уязвимостях безопасности в своих сервисах. Компания поощряет людей находить ошибки.
Минимальная выплата: Twitter платит минимальную сумму в 140 долларов.
Максимальная выплата: Максимальная сумма выплаты компании составляет $15000.
Бонусная ссылка: https://support.twitter.com/articles/477159
16) Avast
Avast Программа вознаграждений вознаграждает этических хакеров и исследователей безопасности за сообщение об удаленном выполнении кода, локальном повышении привилегий, DOS, обходе сканера и других проблемах.
Минимальная выплата: Avast может заплатить вам минимальную сумму в размере 400 долларов США.
Максимальная выплата: Максимальная сумма, предлагаемая компанией, составляет 10,000 XNUMX долларов США.
Бонусная ссылка: https://www.avast.com/bug-bounty
17) ПайПал
Служба платежных шлюзов Paypal также предлагает программы вознаграждения за обнаружение ошибок для исследователей безопасности.
Ограничения:
Уязвимости, зависящие от методы социальной инженерии, Заголовок хоста
Отказ в обслуживании (DOS), определяемая пользователем полезная нагрузка, подмена контента без встроенных ссылок/HTM, уязвимости, требующие взломанного мобильного устройства и т. д.
Минимальная выплата: Paypal может заплатить минимум 50 долларов за обнаружение уязвимостей безопасности в своей системе.
Максимальная выплата: Максимальная сумма выплаты, предоставляемая PayPal, составляет 10000 долларов США.
Бонусная ссылка: https://hackerone.com/paypal
18) ГитХаб
GitHub запускает программу вознаграждений за обнаружение ошибок с 2013 года. Каждый успешный участник получал баллы за свои сообщения об уязвимостях в зависимости от их серьезности.
Ограничение:
Исследователь безопасности получит эту награду только в том случае, если он уважает данные пользователей и не будет использовать какие-либо проблемы для проведения атаки, которая может нанести ущерб целостности сервисов или информации GitHub.
Минимальная выплата: Github платит минимальную сумму в размере 200 долларов США за обнаружение ошибок.
Максимальная выплата: Github может заплатить $10000 за обнаружение критических ошибок.
Бонусная ссылка: https://bounty.github.com/
19) Убер
Программа вознаграждения за уязвимости Uber в первую очередь ориентирована на защиту данных пользователей и ее сотрудников.
Минимальная выплата: Никакой заранее установленной минимальной суммы не существует.
Максимальная выплата: Uber заплатит вам 10,000 XNUMX долларов за обнаружение критических ошибок.
Бонусная ссылка: https://eng.uber.com/bug-bounty-map/
20) Мадженто
Программа Magneto Bounty позволяет вам сообщать об уязвимостях безопасности в программном обеспечении Magneto или на веб-сайтах.
Ограничения:
Последующее исследование безопасности не имеет права на получение вознаграждения
- Потенциальный или фактический отказ в обслуживании приложений и систем Magento.
- Использование эксплойта для просмотра данных без авторизации.
- Автоматизированное/скриптовое тестирование веб-форм
Минимальная выплата: Минимальная сумма выплаты по этой баунти-программе составляет 100 долларов США.
Максимальная выплата: Magento платит максимум 10,000 XNUMX долларов за обнаружение критических ошибок.
Бонусная ссылка: https://magento.com/security
21) Перл
Perl также запускает программы вознаграждения за обнаружение ошибок. Если кто-то обнаружил уязвимость безопасности в Perl, он может связаться с компанией.
Минимальная выплата: Компания выплачивает минимальную сумму в размере 500 долларов США.
Максимальная выплата: Максимальная сумма, предоставленная Perl, составляет 1500 долларов США.
Бонусная ссылка: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP позволяет этическим хакерам найти ошибку на их сайте.
Ограничения: Вам необходимо проверить список уже найденных ошибок. Если вы не будете следовать этой инструкции, ваша ошибка не будет учтена.
Минимальная выплата: Минимальная сумма выплаты составляет $500.
Максимальная выплата: Максимум $1500 дает PHP за поиск важных ошибок.
Бонусная ссылка: https://bugs.php.net/report.php?bug_type=Security
23) Старбакс
Starbucks запускает программу bug Bounty, чтобы защитить своих клиентов. Они поощряют находить вредоносную активность в своих сетях, политиках веб-сайтов и мобильных приложений.
Минимальная выплата: Минимальная сумма, выплачиваемая Starbucks, составляет 100 долларов США.
Максимальная выплата: Максимальная сумма достигает 4000 долларов.
Бонусная ссылка: https://www.starbucks.com/whitehat
24) AT&T
У AT&T также есть канал поиска ошибок. Разработчики и эксперты по безопасности могут исследовать различные платформы, такие как веб-сайты, API и мобильные приложения.
Минимальная выплата: Минимальная сумма, выплачиваемая ими, составляет 500 долларов США.
Максимальная выплата: Такого верхнего предела для выплат не существует.
Бонусная ссылка: https://bugbounty.att.com/
25) Линкедин
LinkedIn приветствует отдельных исследователей, которые делятся своим опытом и временем для поиска ошибок.
Компания вознаградит вас, но ни минимальная, ни максимальная сумма не является фиксированной для этой цели.
Бонусная ссылка: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Пэйтм
Paytm приглашает независимые группы безопасности или отдельных исследователей изучить его на всех платформах.
Ограничения:
- Отчеты, в которых говорится, что программное обеспечение устарело/уязвимо, без «Доказательства концепции».
- Проблемы XSS, которые затрагивают только устаревшие браузеры.
- Следы стека, которые раскрывают информацию.
- Любые проблемы с мошенничеством
Минимальная выплата: Компания заплатит минимум 15 долларов за обнаружение ошибок.
Максимальная выплата: Эта компания не фиксирует верхний предел.
Бонусная ссылка: https://paytm.com/offer/bug-bounty/
27) Shopify
Shopify-х Программа Whitehat вознаграждает исследователей безопасности за обнаружение серьезных уязвимостей
Минимальная выплата: Минимальная сумма, выплачиваемая Shopify, составляет 500 долларов США.
Максимальная выплата: Не существует фиксированного верхнего предела для выплаты вознаграждения.
Бонусная ссылка: https://www.shopify.in/whitehat
28) WordPress
WordPress также приглашает исследователей безопасности сообщать об обнаруженных ими ошибках.
Минимальная выплата: WordPress платит минимум 150 долларов за сообщение об ошибках на своем сайте.
Максимальная выплата: Компания не устанавливает максимальный лимит выплаты вознаграждения.
Бонусная ссылка: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Зомато
Zomato помогает исследователям безопасности выявлять проблемы, связанные с безопасностью веб-сайта или приложений компании.
Минимальная выплата: Zomato заплатит минимум 1000 долларов за обнаружение важных ошибок.
Максимальная выплата: Максимальной суммы исправления не существует.
Бонусная ссылка: https://www.zomato.com/policies/security/
30) Проект Тор
Программа вознаграждения за ошибки Tor Project охватывает две основные службы: сетевой демон и браузер.
Ограничение: OpenSSL приложения исключены из этой области.
Минимальная выплата: Минимальная сумма, выплачиваемая ими, составляет 100 долларов США.
Максимальная выплата: Компания заплатит вам максимум 4000 долларов.
(Ссылка недоступна) Баунти-ссылка: безопасность@lists.torproject.org
31) Хакероне
HackerOne — одна из крупнейших платформ по координации уязвимостей и вознаграждению за ошибки. Это помогает компаниям защитить свои потребительские данные, работая с мировым исследовательским сообществом для выявления наиболее актуальных проблем безопасности. Многие известные компании, такие как Yahoo, Shopify, PHP, Google, Snapchat и Wink пользуются услугами этого веб-сайта, чтобы вознаградить исследователей безопасности и этических хакеров.
Бонусная ссылка: https://hackerone.com/bug-bounty-programs
32) толпа ошибок
Мощная платформа, соединяющая глобальное сообщество исследователей безопасности с рынком безопасности. Целью этого сайта является предоставление клиентам по всему миру правильного сочетания и типа исследователей, подходящих в соответствии с конкретным веб-сайтом. Хакерам просто нужно выбрать свои отчеты на этом сайте, и если они смогут обнаружить правильные ошибки, конкретная компания заплатит сумму этому человеку.
Бонусная ссылка: https://www.bugcrowd.com/bug-bounty-list/