Список TOP Bug Bounty программ и веб-сайтов (обновление от февраля 2024 г.)

Лучшие программы/компании по вознаграждению за обнаружение ошибок

Ниже приведен тщательно подобранный список баунти-программ от авторитетных компаний.

1) Интел

Программа вознаграждений Intel в основном нацелена на аппаратное обеспечение, встроенное и программное обеспечение компании.

Ограничения: Сюда не входят недавние приобретения, веб-инфраструктура компании, сторонние продукты или что-либо, связанное с McAfee.

Минимальная выплата: Intel предлагает минимальную сумму в 500 долларов за поиск ошибок в их системе.

Максимальная выплата: Компания платит максимум 30,000 XNUMX долларов США за обнаружение критических ошибок.

Бонусная ссылка: https://security-center.intel.com/BugBountyProgram.aspx


2) Яху

У Yahoo есть специальная команда, которая принимает отчеты об уязвимостях от исследователей безопасности и этических хакеров.

Ограничения: Компания не предлагает никакого вознаграждения за обнаружение ошибок в блогах WordPress на yahoo.net, Yahoo 7, Yahoo Japan, Onwander и Yahoo.

Минимальная выплата: На Yahoo не существует установленного ограничения на минимальную выплату.

Максимальная выплата: Yahoo может заплатить 15000 XNUMX долларов за обнаружение важных ошибок в своей системе.

Бонусная ссылка:https://safety.yahoo.com/Security/REPORTING-ISSUES.html


3) Снэпчат

Команда безопасности Snapchat просматривает все отчеты об уязвимостях и действует в соответствии с ними, ответственно раскрывая информацию. Компания, мы подтвердим вашу заявку в течение 30 дней.

Минимальная выплата: Snapchat заплатит минимум 2000 долларов.

Максимальная выплата: Максимум, что они заплатят, — 15,000 XNUMX долларов.

Бонусная ссылка:https://support.snapchat.com/en-US/i-need-help


4) Cisco

Cisco призывает отдельных лиц или организации, у которых возникают проблемы с безопасностью продукта, сообщать о них компании.

Минимальная выплата: CiscoМинимальная сумма выплаты составляет 100 долларов США.

Максимальная выплата: Компания выделит максимум $2,500 на поиск серьезных уязвимостей.

Бонусная ссылка: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html


5) Dropbox

Dropbox Программа вознаграждений позволяет исследователям безопасности сообщать об ошибках и уязвимостях в стороннем сервисе HackerOne.

Минимальная выплата: Минимальная выплачиваемая сумма составляет 12,167 XNUMX долларов США.

Максимальная выплата: Максимальная предлагаемая сумма составляет 32,768 XNUMX долларов США.

Бонусная ссылка: https://help.dropbox.com/accounts-billing/security/how-security-works


6) Яблоко

Когда Apple впервые запустила свою программу вознаграждений за обнаружение ошибок, к ней было допущено всего 24 исследователя безопасности. Затем структура расширилась и включила в себя больше охотников за ошибками.

Компания заплатит 100,000 XNUMX долларов тем, кто сможет извлечь данные, защищенные технологией Apple Secure Enclave.

Минимальная выплата: Apple Inc не устанавливает никаких ограничений по сумме.

Максимальная выплата: Самая высокая награда, назначенная Apple, составляет 200,000 XNUMX долларов США за проблемы безопасности, затрагивающие ее прошивку.

Бонусная ссылка: https://support.apple.com/en-in/HT201220


7) Facebook

В рамках программы вознаграждения за ошибки Facebook пользователи могут сообщить о проблеме безопасности в Facebook, Instagram, Atlas, WhatsApp, и т.д.

Ограничения: Есть несколько проблем безопасности, которые платформа социальных сетей считает недоступными.

Минимальная выплата: Facebook заплатит минимум 500 долларов за обнаруженную уязвимость.

Максимальная выплата: Facebook не устанавливает верхнего предела для выплаты.

Бонусная ссылка: https://www.facebook.com/whitehat/


8) Гугл

Любой контент на сайтах .google.com, .blogger, youtube.com открыты для участия в программе вознаграждений за уязвимости Google.

Ограничения: Эта программа вознаграждений охватывает только вопросы проектирования и реализации.

Минимальная выплата: Google заплатит минимум 300 долларов за поиск потоков безопасности.

Максимальная выплата: Google заплатит самую высокую награду в размере 31.337 долларов США за обычные приложения Google.

Бонусная ссылка: https://www.google.com/about/appsecurity/reward-program/


9) Квора

Quora предлагает всем пользователям и исследователям программу Bug Bounty, позволяющую находить и сообщать об уязвимостях безопасности.

Минимальная выплата: Quora заплатит минимум 100 долларов за обнаружение уязвимостей на своем сайте.

Максимальная выплата: Максимальная выплата, предлагаемая этим сайтом, составляет 7000 долларов США.

Бонусная ссылка: https://engineering.quora.com/Security-Bug-Bounty-Program


10) Мозилла

Mozilla вознаграждает за обнаружение уязвимостей этическим хакерами и исследователями безопасности.

Ограничения: Вознаграждение предлагается только за ошибки в сервисах Mozilla, таких как Firefox, Thunderbird и другие сопутствующие приложения и сервисы.

Минимальная выплата: Минимальная сумма, указанная Firefox составляет $ 500.

Максимальная выплата: Компания платит максимум 5000 долларов США.

Бонусная ссылка: https://www.mozilla.org/en-US/security/bug-bounty/


11) Microsoft

MicrosoftТекущая программа вознаграждения за обнаружение ошибок была официально запущена 23 сентября 2014 года и касается только онлайн-сервисов.

Ограничения: Вознаграждение выдается только за критические и важные уязвимости.

Минимальная выплата: Microsoft готов заплатить $15,000 XNUMX за обнаружение критических ошибок.

Максимальная выплата: Максимальная сумма может составлять $250,000 XNUMX.

Бонусная ссылка: https://technet.microsoft.com/en-us/library/dn425036.aspx


12) OpenSSL

OpenSSL Bounty позволяет сообщать об уязвимостях с помощью защищенной электронной почты.mail (ключ PGP). Вы также можете сообщить об уязвимостях в OpenSSL Управляющий комитет.

Минимальная выплата: Компания выплачивает минимальное вознаграждение в размере 500 долларов США.

Максимальная выплата: Максимальная сумма, предоставленная компанией, составляет 5000 долларов США.

Бонусная ссылка: https://www.openssl.org/news/vulnerabilities.html


13) Вимео

Vimeo приветствует любые сообщения об уязвимостях безопасности в своих продуктах, поскольку компания платит этому человеку хорошее вознаграждение.

Минимальная выплата: Компания заплатит минимум 500 долларов США.

Максимальная выплата: Максимальная сумма, выплачиваемая этой компанией, составляет 5000 долларов США.

Бонусная ссылка: https://vimeo.com/about/security


14) Апач

Apache призывает этичных хакеров сообщать об уязвимостях безопасности в одну из своих частных служб безопасности. mailведение списков.

Минимальная выплата: Минимальная сумма выплаты, предоставляемая Apache, составляет 500 долларов США.

Максимальная выплата: Эта компания может дать максимальное вознаграждение в размере 3000 долларов США.

Бонусная ссылка: https://www.apache.org/security/


15) Twitter

Twitter сообщает исследователям безопасности и экспертам о возможных уязвимостях безопасности в своих сервисах. Компания поощряет людей находить ошибки.

Минимальная выплата: Twitter платит минимальную сумму в 140 долларов.

Максимальная выплата: Максимальная сумма выплаты компании составляет $15000.

Бонусная ссылка: https://support.twitter.com/articles/477159


16) Avast

Avast Программа вознаграждений вознаграждает этических хакеров и исследователей безопасности за сообщение об удаленном выполнении кода, локальном повышении привилегий, DOS, обходе сканера и других проблемах.

Минимальная выплата: Avast может заплатить вам минимальную сумму в размере 400 долларов США.

Максимальная выплата: Максимальная сумма, предлагаемая компанией, составляет 10,000 XNUMX долларов США.

Бонусная ссылка: https://www.avast.com/bug-bounty


17) ПайПал

Служба платежных шлюзов Paypal также предлагает программы вознаграждения за обнаружение ошибок для исследователей безопасности.

Ограничения:

Уязвимости, зависящие от методы социальной инженерии, Заголовок хоста

Отказ в обслуживании (DOS), определяемая пользователем полезная нагрузка, подмена контента без встроенных ссылок/HTM, уязвимости, требующие взломанного мобильного устройства и т. д.

Минимальная выплата: Paypal может заплатить минимум 50 долларов за обнаружение уязвимостей безопасности в своей системе.

Максимальная выплата: Максимальная сумма выплаты, предоставляемая PayPal, составляет 10000 долларов США.

Бонусная ссылка: https://hackerone.com/paypal


18) ГитХаб

GitHub запускает программу вознаграждений за обнаружение ошибок с 2013 года. Каждый успешный участник получал баллы за свои сообщения об уязвимостях в зависимости от их серьезности.

Ограничение:

Исследователь безопасности получит эту награду только в том случае, если он уважает данные пользователей и не будет использовать какие-либо проблемы для проведения атаки, которая может нанести ущерб целостности сервисов или информации GitHub.

Минимальная выплата: Github платит минимальную сумму в 200 долларов за поиск ошибок.

Максимальная выплата: Github может заплатить 10000 XNUMX долларов за обнаружение критических ошибок.

Бонусная ссылка: https://bounty.github.com/


19) Убер

Программа вознаграждения за уязвимости Uber в первую очередь ориентирована на защиту данных пользователей и ее сотрудников.

Минимальная выплата: Никакой заранее установленной минимальной суммы не существует.

Максимальная выплата: Uber заплатит вам 10,000 XNUMX долларов за обнаружение критических ошибок.

Бонусная ссылка: https://eng.uber.com/bug-bounty-map/


20) Мадженто

Программа Magneto Bounty позволяет вам сообщать об уязвимостях безопасности в программном обеспечении Magneto или на веб-сайтах.

Ограничения:

Фоллоwing исследования безопасности не имеют права на награду

  • Потенциальный или фактический отказ в обслуживании приложений и систем Magento.
  • Использование эксплойта для просмотра данных без авторизации.
  • Автоматизированное/скриптовое тестирование веб-форм

Минимальная выплата: Минимальная сумма выплаты по этой баунти-программе составляет 100 долларов США.

Максимальная выплата: Magento платит максимум 10,000 XNUMX долларов за обнаружение критических ошибок.

Бонусная ссылка: https://magento.com/security


21) Перл

Perl также запускает программы вознаграждения за обнаружение ошибок. Если кто-то обнаружил уязвимость безопасности в Perl, он может связаться с компанией.

Минимальная выплата: Компания выплачивает минимальную сумму в размере 500 долларов США.

Максимальная выплата: Максимальная сумма, предоставленная Perl, составляет 1500 долларов США.

Бонусная ссылка: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION


22) PHP

PHP позволяет этическим хакерам найти ошибку на их сайте.

Ограничения: Вам необходимо проверить список уже найденных ошибок. Если вы не будете следовать этой инструкции, ваша ошибка не будет учтена.

Минимальная выплата: Минимальная сумма выплаты составляет $500.

Максимальная выплата: Максимум $1500 предоставляется PHP за себя.archiнг важных ошибок.

Бонусная ссылка: https://bugs.php.net/report.php?bug_type=Security


23) Старбакс

Starbucks запускает программу bug Bounty, чтобы защитить своих клиентов. Они поощряют находить вредоносную активность в своих сетях, политиках веб-сайтов и мобильных приложений.

Минимальная выплата: Минимальная сумма, выплачиваемая Starbucks, составляет 100 долларов США.

Максимальная выплата: Максимальная сумма достигает 4000 долларов.

Бонусная ссылка: https://www.starbucks.com/whitehat


24) AT&T

У AT&T также есть канал поиска ошибок. Разработчики и эксперты по безопасности могут исследовать различные платформы, такие как веб-сайты, API и мобильные приложения.

Минимальная выплата: Минимальная сумма, выплачиваемая ими, составляет 500 долларов США.

Максимальная выплата: Такого верхнего предела для выплат не существует.

Бонусная ссылка: https://bugbounty.att.com/


25) Линкедин

LinkedIn приветствует отдельных исследователей, которые делятся своим опытом и временем для поиска ошибок.

Компания вознаградит вас, но ни минимальная, ни максимальная сумма не является фиксированной для этой цели.

Бонусная ссылка: https://security.linkedin.com/posts/2015/private-bug-bounty-program


26) Пэйтм

Paytm приглашает независимые группы безопасности или отдельных исследователей изучить его на всех платформах.

Ограничения:

  • Отчеты, в которых говорится, что программное обеспечение устарело/уязвимо, без «Доказательства концепции».
  • Проблемы XSS, которые затрагивают только устаревшие браузеры.
  • Следы стека, которые раскрывают информацию.
  • Любые проблемы с мошенничеством

Минимальная выплата: Компания заплатит минимум 15 долларов за обнаружение ошибок.

Максимальная выплата: Эта компания не фиксирует верхний предел.

Бонусная ссылка: https://paytm.com/offer/bug-bounty/


27) Shopify

Shopify-х Программа Whitehat вознаграждает исследователей безопасности за обнаружение серьезных уязвимостей

Минимальная выплата: Минимальная сумма, выплачиваемая Shopify, составляет 500 долларов США.

Максимальная выплата: Не существует фиксированного верхнего предела для выплаты вознаграждения.

Бонусная ссылка: https://www.shopify.in/whitehat


28) WordPress

WordPress также приглашает исследователей безопасности сообщать об обнаруженных ими ошибках.

Минимальная выплата: WordPress платит минимум 150 долларов за сообщение об ошибках на своем сайте.

Максимальная выплата: Компания не устанавливает максимальный лимит выплаты вознаграждения.

Бонусная ссылка: https://make.wordpress.org/core/handbook/testing/reporting-bugs/


29) Зомато

Zomato помогает исследователям безопасности выявлять проблемы, связанные с безопасностью веб-сайта или приложений компании.

Минимальная выплата: Zomato заплатит минимум 1000 долларов за обнаружение важных ошибок.

Максимальная выплата: Максимальной суммы исправления не существует.

Бонусная ссылка: https://www.zomato.com/policies/security/


30) Проект Тор

Программа вознаграждения за ошибки Tor Project охватывает две основные службы: сетевой демон и браузер.

Ограничение: OpenSSL приложения исключены из этой области.

Минимальная выплата: Минимальная сумма, выплачиваемая ими, составляет 100 долларов США.

Максимальная выплата: Компания заплатит вам максимум 4000 долларов.

(Ссылка недоступна) Баунти-ссылка: безопасность@lists.torproject.org


31) Хакероне

HackerOne — одна из крупнейших платформ по координации уязвимостей и вознаграждению за ошибки. Это помогает компаниям защитить свои потребительские данные, работая с мировым исследовательским сообществом для выявления наиболее актуальных проблем безопасности. Многие известные компании, такие как Yahoo, Shopify, PHP, Google, Snapchat и Wink пользуются услугами этого веб-сайта, чтобы вознаградить исследователей безопасности и этических хакеров.

Бонусная ссылка: https://hackerone.com/bug-bounty-programs


32) толпа ошибок

Мощная платформа, соединяющая глобальное сообщество исследователей безопасности с рынком безопасности. Целью этого сайта является предоставление клиентам по всему миру правильного сочетания и типа исследователей, подходящих в соответствии с конкретным веб-сайтом. Хакерам просто нужно выбрать свои отчеты на этом сайте, и если они смогут обнаружить правильные ошибки, конкретная компания заплатит сумму этому человеку.

Бонусная ссылка: https://www.bugcrowd.com/bug-bounty-list/

FAQ

Bug Bounty — это денежный приз, предлагаемый человеку, обнаружившему ошибку или уязвимость в компьютерной программе или системе. Программа Bug Bounty предлагается многими веб-сайтами, организациями и разработчиками программного обеспечения, в рамках которой люди могут получить признание и компенсацию за сообщение об ошибках.

Посмотрите список подписчиковwing ведущие компании имеют программы вознаграждения за обнаружение ошибок.

  1. Intel
  2. Yahoo
  3. Snapchat
  4. Cisco
  5. Dropbox
  6. Apple
  7. Facebook
  8. Google

Guru99 спонсируется Invicti.
Invicti

Invicti, разработчики технологии Proof Based Scanning, спонсировали проект Guru99, чтобы повысить осведомленность о безопасности веб-приложений и позволить большему количеству разработчиков узнать о написании безопасного кода.