Danh sách trang web và chương trình tiền thưởng lỗi HÀNG ĐẦU (Cập nhật tháng 2025 năm XNUMX)
Oliver Jones
Các chương trình/công ty săn tiền thưởng lỗi tốt nhất
Dưới đây là danh sách các Chương trình Bounty được tuyển chọn bởi các công ty có uy tín
1) Intel
Chương trình tiền thưởng của Intel chủ yếu nhắm vào phần cứng, chương trình cơ sở và phần mềm của công ty.
Hạn chế: Nó không bao gồm các thương vụ mua lại gần đây, cơ sở hạ tầng web của công ty, sản phẩm của bên thứ ba hoặc bất kỳ điều gì liên quan đến McAfee.
Thanh toán tối thiểu: Intel cung cấp số tiền tối thiểu 500 USD cho việc tìm ra lỗi trong hệ thống của họ.
Thanh toán tối đa: Công ty trả tối đa 30,000 USD cho việc phát hiện các lỗi nghiêm trọng.
Liên kết tiền thưởng: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
Yahoo có đội ngũ chuyên trách tiếp nhận các báo cáo về lỗ hổng bảo mật từ các nhà nghiên cứu bảo mật và tin tặc có đạo đức.
Hạn chế: Công ty không đưa ra bất kỳ phần thưởng nào cho việc tìm ra lỗi trong các blog WordPress do yahoo.net, Yahoo 7 Yahoo Japan, Onwander và Yahoo điều hành.
Thanh toán tối thiểu: Không có giới hạn nào được đặt ra trên Yahoo về khoản thanh toán tối thiểu.
Thanh toán tối đa: Yahoo có thể trả 15000 USD để phát hiện các lỗi quan trọng trong hệ thống của họ.
Liên kết tiền thưởng:https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
Nhóm bảo mật của Snapchat xem xét tất cả các báo cáo về lỗ hổng bảo mật và xử lý chúng bằng cách tiết lộ một cách có trách nhiệm. Công ty, chúng tôi sẽ xác nhận việc gửi của bạn trong vòng 30 ngày.
Thanh toán tối thiểu: Snapchat sẽ trả tối thiểu 2000 USD.
Thanh toán tối đa: Tối đa họ sẽ trả là 15,000 USD.
Liên kết tiền thưởng:https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco khuyến khích các cá nhân hoặc tổ chức đang gặp vấn đề về bảo mật sản phẩm báo cáo cho công ty.
Thanh toán tối thiểu: Ciscosố tiền thanh toán tối thiểu là 100 USD.
Thanh toán tối đa: Công ty sẽ chi tối đa 2,500 USD để tìm ra các lỗ hổng nghiêm trọng.
Liên kết tiền thưởng: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Dropbox chương trình tiền thưởng cho phép các nhà nghiên cứu bảo mật báo cáo lỗi và lỗ hổng trên dịch vụ HackerOne của bên thứ ba.
Thanh toán tối thiểu: Số tiền tối thiểu được trả là $ 12,167.
Thanh toán tối đa: Số tiền tối đa được cung cấp là $ 32,768.
Liên kết tiền thưởng: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Quả táo
Khi Apple lần đầu tiên tung ra chương trình tiền thưởng lỗi, họ chỉ cho phép 24 nhà nghiên cứu bảo mật. Sau đó, khuôn khổ này được mở rộng để bao gồm nhiều thợ săn tiền thưởng lỗi hơn.
Công ty sẽ trả 100,000 USD cho những ai có thể trích xuất dữ liệu được bảo vệ bằng công nghệ Secure Enclave của Apple.
Thanh toán tối thiểu: Không có số lượng giới hạn cố định bởi Apple Inc.
Thanh toán tối đa: Mức thưởng cao nhất mà Apple đưa ra là 200,000 USD cho các vấn đề bảo mật ảnh hưởng đến phần sụn của hãng.
Liên kết tiền thưởng: https://support.apple.com/en-in/102549
7)
Theo chương trình tiền thưởng cho lỗi của Facebook, người dùng có thể báo cáo sự cố bảo mật trên Facebook, Instagram, Atlas, WhatsApp, v.v.
Hạn chế: Có một số vấn đề bảo mật mà nền tảng mạng xã hội coi là vượt quá giới hạn.
Thanh toán tối thiểu: Facebook sẽ trả tối thiểu 500 USD cho một lỗ hổng được tiết lộ.
Thanh toán tối đa: Không có giới hạn trên nào được Facebook ấn định cho Khoản thanh toán.
Liên kết tiền thưởng: https://www.facebook.com/whitehat/
8) Google
Mọi nội dung trong .google.com, .blogger, youtube.com đều được áp dụng chương trình khen thưởng lỗ hổng bảo mật của Google.
Hạn chế: Chương trình tiền thưởng này chỉ bao gồm các vấn đề về thiết kế và triển khai.
Thanh toán tối thiểu: Google sẽ trả tối thiểu 300 USD cho việc tìm kiếm các chủ đề bảo mật.
Thanh toán tối đa: Google sẽ trả mức tiền thưởng cao nhất là 31.337 USD cho các ứng dụng thông thường của Google.
Liên kết tiền thưởng: https://www.google.com/about/appsecurity/reward-program/
9) Hỏi đáp
Quora cung cấp chương trình Bug Bounty cho tất cả người dùng và nhà nghiên cứu để tìm và báo cáo các lỗ hổng bảo mật.
Thanh toán tối thiểu: Quora sẽ trả tối thiểu 100 USD để tìm ra lỗ hổng trên trang web của họ.
Thanh toán tối đa: Khoản thanh toán tối đa được cung cấp bởi trang web này là $7000.
Liên kết tiền thưởng: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
Mozilla trao thưởng cho những phát hiện lỗ hổng bảo mật của các hacker có đạo đức và các nhà nghiên cứu bảo mật.
Hạn chế: Tiền thưởng chỉ được cung cấp cho các lỗi trong dịch vụ Mozilla, chẳng hạn như Firefox, Thunderbird và các ứng dụng, dịch vụ liên quan khác.
Thanh toán tối thiểu: Số tiền tối thiểu được đưa ra bởi Firefox là $ 500.
Thanh toán tối đa: Công ty sẽ trả tối đa $5000.
Liên kết tiền thưởng: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
MicrosoftChương trình tiền thưởng lỗi hiện tại của đã chính thức ra mắt vào ngày 23 tháng 2014 năm XNUMX và chỉ giao dịch với Dịch vụ trực tuyến.
Hạn chế: Phần thưởng tiền thưởng chỉ được trao cho các lỗ hổng nghiêm trọng và quan trọng.
Thanh toán tối thiểu: Microsoft sẵn sàng trả 15,000 USD để tìm ra các lỗi nghiêm trọng.
Thanh toán tối đa: Số tiền tối đa có thể là 250,000 USD.
Liên kết tiền thưởng: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
OpenSSL bounty cho phép bạn báo cáo các lỗ hổng bằng email an toàn (PGP Key). Bạn cũng có thể báo cáo các lỗ hổng cho OpenSSL Ủy ban quản lý.
Thanh toán tối thiểu: Công ty trả phần thưởng tiền thưởng tối thiểu là 500 USD.
Thanh toán tối đa: Số tiền cao nhất mà công ty đưa ra là 5000 USD.
Liên kết tiền thưởng: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo hoan nghênh mọi báo cáo về lỗ hổng bảo mật trong sản phẩm của họ vì công ty trả phần thưởng xứng đáng cho người đó.
Thanh toán tối thiểu: Công ty sẽ trả tối thiểu $500
Thanh toán tối đa: Số tiền tối đa mà công ty này phải trả là 5000 USD.
Liên kết tiền thưởng: https://vimeo.com/about/security
14) Apache
Apache khuyến khích các hacker mũ trắng báo cáo lỗ hổng bảo mật tới một trong các danh sách gửi thư bảo mật riêng của họ.
Thanh toán tối thiểu: Số tiền thanh toán tối thiểu do Apache đưa ra là 500 USD.
Thanh toán tối đa: Công ty này có thể trao phần thưởng tối đa là $3000.
Liên kết tiền thưởng: https://www.apache.org/security/
15) Twitter
Twitter cho phép các nhà nghiên cứu và chuyên gia bảo mật về các lỗ hổng bảo mật có thể có trong dịch vụ của họ. Công ty khuyến khích mọi người tìm lỗi.
Thanh toán tối thiểu: Twitter đang trả số tiền tối thiểu là 140 USD.
Thanh toán tối đa: Số tiền tối đa mà công ty phải trả là $15000.
Liên kết tiền thưởng: https://support.twitter.com/articles/477159
16) Avast
Avast chương trình tiền thưởng thưởng cho các hacker có đạo đức và các nhà nghiên cứu bảo mật báo cáo việc thực thi mã từ xa, leo thang đặc quyền cục bộ, DOS, bỏ qua máy quét cùng các vấn đề khác.
Thanh toán tối thiểu: Avast có thể trả cho bạn số tiền tối thiểu là 400 USD.
Thanh toán tối đa: Số tiền tối đa mà công ty đưa ra là 10,000 USD.
Liên kết tiền thưởng: https://www.avast.com/bug-bounty
17) Trả tiền
Dịch vụ cổng thanh toán Paypal cũng cung cấp các chương trình thưởng lỗi cho các nhà nghiên cứu bảo mật.
Hạn chế:
Các lỗ hổng phụ thuộc vào kỹ thuật xã hội, Tiêu đề máy chủ
Từ chối dịch vụ (DOS), tải trọng do người dùng xác định, giả mạo nội dung không có liên kết nhúng/HTM và các lỗ hổng yêu cầu thiết bị di động đã bẻ khóa, v.v.
Thanh toán tối thiểu: Paypal có thể trả tối thiểu 50 USD để tìm ra lỗ hổng bảo mật trong hệ thống của họ.
Thanh toán tối đa: Số tiền thanh toán tối đa được Paypal đưa ra là 10000 USD.
Liên kết tiền thưởng: https://hackerone.com/paypal
18) GitHub
GitHub chạy chương trình thưởng lỗi từ năm 2013. Mỗi người tham gia thành công đều kiếm được điểm khi gửi lỗ hổng bảo mật tùy thuộc vào mức độ nghiêm trọng.
hạn chế:
Nhà nghiên cứu bảo mật sẽ chỉ nhận được khoản tiền thưởng đó nếu họ tôn trọng dữ liệu của người dùng và không khai thác bất kỳ vấn đề nào để tạo ra một cuộc tấn công có thể gây tổn hại đến tính toàn vẹn của dịch vụ hoặc thông tin của GitHub.
Thanh toán tối thiểu: Github trả số tiền tối thiểu là 200 USD cho việc tìm lỗi.
Thanh toán tối đa: Github có thể trả 10000 USD để tìm ra các lỗi nghiêm trọng.
Liên kết tiền thưởng: https://bounty.github.com/
19) Uber
Chương trình khen thưởng lỗ hổng của Uber chủ yếu tập trung vào việc bảo vệ dữ liệu của người dùng và nhân viên của công ty.
Thanh toán tối thiểu: Không có số tiền tối thiểu được xác định trước.
Thanh toán tối đa: Uber sẽ trả cho bạn 10,000 USD để tìm ra các lỗi nghiêm trọng.
Liên kết tiền thưởng: https://eng.uber.com/bug-bounty-map/
20) Magento
Chương trình tiền thưởng Magneto cho phép bạn báo cáo các lỗ hổng bảo mật trong phần mềm hoặc trang web Magneto.
Hạn chế:
Nghiên cứu bảo mật sau đây không đủ điều kiện nhận tiền thưởng
- Việc từ chối dịch vụ có thể hoặc thực tế của các ứng dụng và hệ thống Magento.
- Sử dụng khai thác để xem dữ liệu mà không được phép.
- Kiểm tra tự động/theo kịch bản các biểu mẫu web
Thanh toán tối thiểu: Số tiền thanh toán tối thiểu cho chương trình tiền thưởng này là 100 USD.
Thanh toán tối đa: Magento đang trả tối đa 10,000 USD cho việc tìm ra các lỗi nghiêm trọng.
Liên kết tiền thưởng: https://magento.com/security
21) Perl
Perl cũng đang chạy các chương trình thưởng lỗi. Nếu ai đó tìm thấy lỗ hổng bảo mật trong Perl, họ có thể liên hệ với công ty.
Thanh toán tối thiểu: Công ty trả số tiền tối thiểu là 500 USD.
Thanh toán tối đa: Số tiền cao nhất mà Perl đưa ra là $1500.
Liên kết tiền thưởng: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22)PHP
PHP cho phép các hacker có đạo đức tìm ra lỗi trên trang web của họ.
Hạn chế: Bạn cần kiểm tra danh sách các lỗi đã được tìm thấy. Nếu bạn không làm theo hướng dẫn này thì lỗi của bạn sẽ không được xem xét.
Thanh toán tối thiểu: Số tiền thanh toán tối thiểu là $500.
Thanh toán tối đa: PHP sẽ thưởng tối đa 1500 đô la cho việc tìm kiếm các lỗi quan trọng.
Liên kết tiền thưởng: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
Starbucks chạy chương trình Bug Bounty để bảo vệ khách hàng của họ. Họ khuyến khích tìm ra hoạt động độc hại trong các chính sách mạng, web và ứng dụng di động của họ.
Thanh toán tối thiểu: Số tiền tối thiểu mà Starbucks phải trả là 100 USD.
Thanh toán tối đa: Số tiền tối đa lên tới $4000.
Liên kết tiền thưởng: https://www.starbucks.com/whitehat
24) AT&T
AT&T cũng có kênh săn lỗi. Các nhà phát triển và chuyên gia bảo mật có thể nghiên cứu các nền tảng khác nhau như trang web, API và ứng dụng di động.
Thanh toán tối thiểu: Số tiền tối thiểu họ phải trả là 500 USD.
Thanh toán tối đa: Không có giới hạn trên cho khoản thanh toán.
Liên kết tiền thưởng: https://hackerone.com/att?type=team
25) LinkedIn
LinkedIn hoan nghênh các nhà nghiên cứu cá nhân đóng góp kiến thức chuyên môn và thời gian để tìm ra lỗi.
Công ty sẽ thưởng cho bạn, nhưng số tiền tối thiểu hay tối đa đều không phải là con số cố định cho mục đích này.
Liên kết tiền thưởng: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Thanh toán
Paytm mời các nhóm bảo mật độc lập hoặc các nhà nghiên cứu cá nhân nghiên cứu nó trên tất cả các nền tảng
Hạn chế:
- Báo cáo nêu rõ rằng phần mềm đã lỗi thời/dễ bị tổn thương nếu không có 'Bằng chứng về khái niệm'.
- Các sự cố XSS chỉ ảnh hưởng đến các trình duyệt lỗi thời.
- Ngăn xếp dấu vết tiết lộ thông tin.
- Mọi vấn đề gian lận
Thanh toán tối thiểu: Công ty sẽ trả tối thiểu 15 USD cho việc tìm ra lỗi.
Thanh toán tối đa: Công ty này không cố định giới hạn trên.
Liên kết tiền thưởng: https://paytm.com/offer/bug-bounty/
27) Shopify
Shopify Chương trình Whitehat thưởng cho các nhà nghiên cứu bảo mật vì đã tìm ra các lỗi nghiêm trọng lỗ hổng bảo mật
Thanh toán tối thiểu: Số tiền tối thiểu mà Shopify thanh toán là 500 USD.
Thanh toán tối đa: Không có giới hạn cố định trên cho việc trả tiền thưởng.
Liên kết tiền thưởng: https://www.shopify.in/whitehat
28) WordPress
WordPress cũng hoan nghênh các nhà nghiên cứu bảo mật báo cáo về các lỗi mà họ đã tìm thấy.
Thanh toán tối thiểu: WordPress trả tối thiểu $150 để báo cáo lỗi trên trang web của họ.
Thanh toán tối đa: Công ty không ấn định giới hạn tối đa để trả dưới dạng tiền thưởng.
Liên kết tiền thưởng: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
Zomato giúp nhà nghiên cứu bảo mật xác định các vấn đề liên quan đến bảo mật với trang web hoặc ứng dụng của công ty.
Thanh toán tối thiểu: Zomato sẽ trả tối thiểu 1000 USD để tìm ra các lỗi quan trọng.
Thanh toán tối đa: Không có số tiền cố định tối đa.
Liên kết tiền thưởng: https://www.zomato.com/policies/security/
30) Dự án Tor
Chương trình tiền thưởng lỗi của Tor Project bao gồm hai dịch vụ cốt lõi của nó: trình nền mạng và trình duyệt.
hạn chế: OpenSSL các ứng dụng được loại trừ khỏi phạm vi này.
Thanh toán tối thiểu: Số tiền tối thiểu họ phải trả là 100 USD.
Thanh toán tối đa: Công ty sẽ trả cho bạn tối đa $4000.
(Không có liên kết) Liên kết tiền thưởng: security@lists.torproject.org
31) Tin tặc
HackerOne là một trong những nền tảng điều phối lỗ hổng và tiền thưởng lỗi lớn nhất. Nó giúp các công ty bảo vệ dữ liệu người tiêu dùng của họ bằng cách hợp tác với cộng đồng nghiên cứu toàn cầu để tìm ra các vấn đề bảo mật có liên quan nhất. Nhiều công ty nổi tiếng như Yahoo, Shopify, PHP, Google, Snapchat và Wink đang sử dụng dịch vụ của trang web này để trao phần thưởng cho các nhà nghiên cứu bảo mật và tin tặc có đạo đức.
Liên kết tiền thưởng: https://hackerone.com/bug-bounty-programs
32) Đám đông
Một nền tảng mạnh mẽ kết nối cộng đồng nhà nghiên cứu bảo mật toàn cầu với thị trường bảo mật. Trang web này nhằm mục đích cung cấp sự kết hợp phù hợp và loại nhà nghiên cứu phù hợp theo trang web cụ thể cho khách hàng trên toàn thế giới của họ. Hacker chỉ cần chọn báo cáo trên trang này, nếu phát hiện đúng lỗi thì công ty cụ thể sẽ trả số tiền đó cho người đó.
Liên kết tiền thưởng: https://www.bugcrowd.com/bug-bounty-list/
